SQL注入有问题
提问于 2015-08-20 04:08:06
在理解SQL注入中的一些攻击时,我是个菜鸟。目前,我在日志中看到了这次袭击,我想知道是否有人能帮助我理解这意味着什么。
SQL注入:
410'union/**/select/**/1/**/from/**/(select/**/count(*),concat(floor(rand(0)*2),0x3a,(select/**/concat(user,0x3a,password)/**/from/**/pwn_base_admin/**/limit/**/0,1),0x3a)a/**/from/**/information_schema.tables/**/group/**/by/**/a)b/**/where'1'='1.
回答 2
Stack Overflow用户
回答已采纳
发布于 2015-08-20 04:36:40
不完全理解这一点,但select concat(user,0x3a,password) from pwn_base_admin显然试图获得一个连接的用户名和密码字符串,除以":“。
concat(floor(rand(0)*2),0x3a,(的做法大致相同..。其结果将是类似于1:aUserName:UsersPassword。
如果您需要进一步的帮助,请提供更多的细节(RDBMS,在“工会”之前的部分)
希望这能有所帮助
Stack Overflow用户
发布于 2015-08-20 04:41:19
有人在积极地试图获得对你系统的未经授权的访问--他们正在入侵。
我不知道这个系统有多重要,但是如果它很重要,您可能应该将系统脱机,直到整理出代码的数据库访问部分。寻找解决方案的第一步是对sql查询使用绑定参数而不是字符串连接。
有许多可用的资源描述了如何为您正在使用的任何RDBMS使用绑定变量,但下面是我找到的一篇让您入门的文章:
http://use-the-index-luke.com/sql/where-clause/bind-parameters
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/32117870
复制
腾讯云开发者
