当前位置：首页 > news >正文

Web安全：SQL注入实战测试.（扫描 + 测试）

news 2026/5/23 10:11:22

Web安全：SQL注入实战测试.

SQL注入就是有些恶意用户在提交查询请求的过程中将SQL语句插入到请求内容中，同时程序的本身对用户输入的内容过于相信，没有对用户插入的SQL语句进行任何的过滤，从而直接被SQL语句直接被服务端执行，导致数据库的原有信息泄露，篡改，甚至被删除等风险。

SQLmap 工具测试：

使用文档的形式【-r】.（因为这个方法使用的多）

（1）当我们扫描出 SQL注入漏洞时，我们可以使用 SQLmap 工具进行测试，验证漏洞是否存在.

（2）在请求数据文档中，把变量=号后面的数据删除，如果有二个变量一般是要&号隔开.

【设置 * 号，工具就是在这个位置上进行测试是否存在注入点.】

【如果没有 * 号，文档测试就无法测试.】

（3）使用 SQLmap 进行测试.【使用 -r 参数】

sqlmap -r 11.txt --batch --dbs

-r        文件的路径 --batch   默认sqlmap工具提出的（是否）为：y --dbs     显示站点所有数据库

使用常规形式的测试.【-u】

（1）当我们扫描出 SQL注入漏洞时，我们可以使用 SQLmap 工具进行测试，验证漏洞是否存在.

（2）把变量后面的数据删除，或者添加 1 都行.

（3）使用 SQLmap 进行测试.【使用 -u 参数】

sqlmap -u "http://192.168.1.103:801 /pikachu/vul/sqli/sqli_x.php?name=1&submit=1" --batch --dbs

-u        要测试的URL注入点的路径 --batch   默认sqlmap工具提出的（是否）为：y --dbs     显示站点所有数据库

手工测试：

（1）了解工具测试的过程和显示的数据是什么.

（2）打开 Burp 进行抓包，我们可以去访问注入点的页面.【然后把数据发送到重发器中】

Web安全：SQL注入实战测试.（扫描 + 测试）

Web安全：SQL注入实战测试. SQL注入就是有些恶意用户在提交查询请求的过程中将SQL语句插入到请求内容中，同时程序的本身对用户输入的内容过于相信，没有对用户插入的SQL语句进行任何的过滤，从而直接被SQL语句直接被服务端执行&am…...

编程日记 2024/9/10 7:12:51

猜测、实现 B 站在看人数

猜测、实现 B 站在看人数猜测找到接口参数总结实现猜测找到接口浏览器打开一个 B 站视频，比如《黑神话：悟空》最终预告 | 8月20日，重走西游_黑神话悟空 (bilibili.com) ，打开 F12 开发者工具，经过观察&#xf…...

编程日记 2024/9/10 7:10:48

网络编程（UDP）

UDP编程 UDP：全双工通信、面向无连接、不可靠 UDP（User Datagram Protocol）用户数据报协议，是不可靠的无连接的协议。在数据发送前，因为不需要进行连接，所以可以进行高效率的数据传输。适用场景发送小尺寸…...

编程日记 2024/9/10 7:07:45

CENet及多模态情感计算实战（论文复现）

CENet及多模态情感计算实战（论文复现） 本文所涉及所有资源均在传知代码平台可获取文章目录 CENet及多模态情感计算实战（论文复现）概述研究背景主要贡献论文思路主要内容和网络架构数据集介绍性能对比复现过程（重要&am…...

编程日记 2024/9/10 7:06:43

备战秋招60天算法挑战，Day34

题目链接： https://leetcode.cn/problems/coin-change/ 视频题解： https://www.bilibili.com/video/BV1qsvDeHEkg/ LeetCode 322.零钱兑换题目描述给你一个整数数组coins，表示不同面额的硬币；以及一个整数amount，表…...

编程日记 2024/9/10 7:05:39

vue实现评论滚动效果

vue插件实现滚动效果一、安装组件官网地址：https://chenxuan0000.github.io/vue-seamless-scroll/ 1、vue2安装 npm install vue-seamless-scroll --savevue3安装 npm install vue3-seamless-scroll --save二、组件引入 <template><div v-if"…...

编程日记 2024/9/10 7:03:34

iphone13 不升级IOS使用广电卡

iPhone13的信号📶，15系统刷高版本iPCC，本帖以后不再更新！！！ 自从知道可以通过刷iPCC的方式改善信号(不更新iOS大版本的情况下)，尝试了各种版本。我自己用下来总结 - 移动联通48、49、50 &…...

编程日记 2024/9/10 7:01:32

网络地址转换

文章目录 1. NAT使用环境2. NAT的优缺点3. NAT的三种类型4. NAT工作原理5. 配置示例6. 常用排错命令 1. NAT使用环境需要连接到互联网，但主机没有全局唯一的IP地址；更换的ISP的要求对网络进行重新编址；需要合并两个使用相同编址方案的内联网…...

编程日记 2024/9/10 6:58:25

【python】 @property属性详解 and mysql的sqlalchemy的原生sql

【python】 property属性详解一文搞懂python中常用的装饰器（classmethod、property、staticmethod、abstractmethod…） sqlalchemy的原生sql from sqlalchemy import create_engine from sqlalchemy.orm import sessionmaker# 数据库连接字符串 DATAB…...

编程日记 2024/9/10 6:56:23

西门子WinCC开发笔记（一）：winCC西门子组态软件介绍、安装

文为原创文章，转载请注明原文出处本文章博客地址：https://hpzwl.blog.csdn.net/article/details/142060535 长沙红胖子Qt（长沙创微智科）博文大全：开发技术集合（包含Qt实用技术、树莓派、三维、OpenCV、Op…...

编程日记 2024/9/10 6:54:18

如何在5个步骤中编写更好的ChatGPT提示

ChatGPT是一个风靡全球的生成式人工智能 (AI) 工具。虽然它有可能编造一些东西，但是通过精心设计提示，可以确保获得最佳结果。在这篇文章中，我们将探讨如何做到这一点。在本文中，我将向你展示如何编写提示，激励驱动C…...

编程日记 2024/9/10 6:53:17

最小堆最大堆

文章目录最小堆、最大堆最小堆（Min-Heap）最大堆（Max-Heap）堆的主要操作及时间复杂度堆的常见应用堆的数组表示大根堆--堆排序最小堆、最大堆最小堆（Min-Heap）和最大堆（Max-Heap）…...

编程日记 2024/9/10 6:51:14

华为 HCIP-Datacom H12-821 题库 (10)

有需要题库的可以看主页置顶 V群进行学习交流 1.缺省情况下，BGP 对等体邻接关系的保持时间是多少秒？ A、120 秒 B、60 秒 C、10 秒 D、180 秒答案：D 解析： BGP 存活消息每隔 60 秒发一次，保持时间“180 秒” 2.缺省…...

编程日记 2024/9/10 6:46:07

如何利用命令模式实现一个手游后端架构?

命令模式的原理解读命令模式的英文翻译是 Command Design Pattern。在 GoF 的《设计模式》一书中，它是这么定义的： The command pattern encapsulates a request as an object, thereby letting us parameterize other objects with different reques…...

编程日记 2024/9/10 6:44:04

ThreadLocal 释放的方式有哪些

ThreadLocal基础概念：IT-BLOG-CN ThreadLocal是Java中用于在同一个线程中存储和隔离变量的一种机制。通常情况下，我们使用ThreadLocal来存储线程独有的变量，并在任务完成后通过remove方法清理这些变量，以防止内存泄漏。然而&…...

编程日记 2024/9/10 6:41:59

监控-zabbix

1运维监控是指对计算机系统、网络、服务器等关键IT基础设施进行实时监控，以确保系统的稳定运行和及时发现潜在问题 2老监控框架（不会用但需要知道） Cacti： Cacti是一款基于PHP、MySQL开发的网络流量监测图形分析工具。主要监…...

编程日记 2024/9/10 6:37:53

设计模式解释器模式（Interpreter Pattern）

文章目录解释器模式简绍解释器模式的结构优缺点UML图具体代码实现Context 数据实体类，可以包含一些方法Abstract Expression 创建接口方法Terminal Expression 对数据简单处理Non-Terminal Expression 同样实现抽象接口方法Client（客户端） 调…...

编程日记 2024/9/10 6:36:51

Linux echo命令讲解及与重定向符搭配使用方法，tail命令及日志监听方式详解

echo echo具有回声，回响的意思，在linux系统中echo一般可以输出指定字符或用于命令执行 echo命令的用法为 echo 输出字符串或 echo 命令若参数为字符串则进行字符串输出，注意若字符串中含空格最好将其用引号括起，防止echo命…...

编程日记 2024/9/10 6:33:45

Linux网络：总结协议拓展

1. TCP/IP四层模型总结 2. 网络协议拓展 DNS协议（地址解析协议） TCP/IP使用IP地址和端口号来确定网络中一台主机的一个程序。但是这样标定不方便记忆，于是开始引出主机名（字符串），使用hosts文件来描述…...

编程日记 2024/9/10 6:32:44

去除恢复出厂设置中UI文字显示

文章目录需求场景一、代码跟踪与分析在线文字搜索RK平台本地源码搜索实际测试验证代码推理二、实现方案三、延伸知识四、知识总结需求需求：去除恢复出厂设置中UI文字显示场景 Android 相关产品各种方向旋转、强制横竖屏等需求，导致在恢复出厂设…...

编程日记 2024/9/10 6:30:42

DDrawCompat终极指南：3步让老游戏在现代Windows上完美运行！[特殊字符]

DDrawCompat终极指南：3步让老游戏在现代Windows上完美运行！🎮 【免费下载链接】DDrawCompat DirectDraw and Direct3D 1-7 compatibility, performance and visual enhancements for Windows Vista, 7, 8, 10 and 11 项目地址: https://git…...

编程新知 2026/5/23 10:06:03

抖音批量下载神器：免费开源工具解决你的视频保存难题

抖音批量下载神器：免费开源工具解决你的视频保存难题【免费下载链接】douyin-downloader A practical Douyin downloader for both single-item and profile batch downloads, with progress display, retries, SQLite deduplication, and browser fallback suppor…...

编程新知 2026/5/23 9:28:41

C++图文并茂轻松进阶面向对象

一、进阶面向对象（上）面向对象的意义在于将日常生活中习惯的思维方式引入程序设计中将需求中的概念直观的映射到解决方案中以模块为中心构建可复用的软件系统提高软件产品的可维护性和可扩展性类和对象是面向对象中的两个基本概念类∶指的是一类事物&…...

编程新知 2026/5/23 9:22:31

Gemini 1.5、Sora与V-JEPA：AI工程水位线的三大坐标轴

1. 这份AI Newsletter到底在讲什么？为什么它值得你花5分钟读完“Towards AI”这个名称，对很多刚接触AI内容生态的朋友来说可能有点陌生——它不是某个大厂的官方号，也不是某位顶流KOL的个人频道，而是一个由一线工程师、研究员和产…...

编程新知 2026/5/23 8:54:24

嵌入式开发新趋势：从硬件参数到场景方案，AI与可靠性成关键

1. 展会现场与行业风向初探上周，我作为飞凌嵌入式的一名老员工，亲身参与了2024上海国际嵌入式展。这不仅仅是一次简单的产品展示，更像是一场行业同仁的“华山论剑”。从人头攒动的展台到技术论坛上激烈的讨论，你能清晰地感受到&am…...

编程新知 2026/5/23 7:29:32

铁路局信息化综合管理平台总体设计方案

一、五层架构支撑全域智能化平台以感知、网络、数据、平台、应用五层架构贯通铁路资源数字化链路，为铁路局打造横向到边、纵向到底的智能化管理底座。 应用层-业务功能模块–物资仓储、卧具跟踪、工具管理、档案管理等业务功能模块 平台层-微服务与技术中心–提…...

编程新知 2026/5/23 7:09:46

如何用Red Panda Dev-C++打造轻量高效的C++开发环境

如何用Red Panda Dev-C打造轻量高效的C开发环境【免费下载链接】Dev-CPP A greatly improved Dev-Cpp 项目地址: https://gitcode.com/gh_mirrors/dev/Dev-CPP 在当今C开发工具日益臃肿的背景下，Red Panda Dev-C以其轻量级架构和现代化功能，为开…...

编程新知 2026/5/23 7:05:19