SQL 注入是用户提交数据所产生的,那么如何去产生呢? 黑客 提交了什么数据呢?黑客提交数据会返回什么呢?这就是我们下面要阐述的。
2.2.1 带有注入 漏洞 程序的编写
由于 SQL 可以针对不同的数据库进行注入,但是万变不离其中,无论什么样的数据库与什么样的脚本编写的代码, SQL 注入漏洞原理都是一样的,所以我们以最简单的 asp+access 数据库这样的结构来编写我们的漏洞程序。当然了肯定会利用到 asp 的 sql 查询 编程 与连接数据库编程还有 access 数据库表列的创建了。
2.2.1.1 数据库文件的创建
首先说明下这次程序的编写要实现的效果,我们要实现利用 asp 查询到数据库的管理员表的管理员的 id 号和账户名。那么我们就假设管理员的表明为 admin ,列名为 id 和 username 。
那么结构就如下图所示。
在第一章已经讲过微软的 ACCESS 安装了,所以现在我们就直接就打开 虚拟机 的 asp+access 环境快照,进行测试环境。
点击开始 - 所有程序 -Microsoft Office-Microsoft Office Access 2003 打开 ACCESS 的窗口。点击文件 - 新建,在右面新建文件中点击“空 数据库 ”来进行新建一个数据库文件。保存文件到 web 目录下并修改文件名为 test.mdb 。
创建完数据库接下来就该进行数据库表与列的创建。点击“使用设计器创建表”创建表与列。在字段名中写入 id ,数据类型选择自动编号。继续添加下一个字段名称为 username ,数据类型为文本型。然后关闭本窗口,会弹出是否保存表的设计,这里当然选择“是”了。之后又会弹出一个另存为对话框,在这里我们填写我们已经设计好的表明 admin 。这样一个数据库的基本结构就已经建立完成。
虽然表和列名已经建立完成,但是我们还没有添加任何数据呢。接下来就继续添加我们上面设计过的两条数据。双击打开 admin 表,直接输入 username 表为我们上面的设计好的内容,而 id 就会自动添加的。
这样一个数据库就已经创建完毕了
查看更多关于2.2 基础的SQL注入与原理的讲述 - 网站安全 - 自学的详细内容...