sql注入源码 怎么知道网站是否被sql注入?
怎么知道网站是否被sql注入?
SQL注入通过网页修改网站数据库。它可以直接在数据库中添加具有管理员权限的用户,从而获得系统管理员权限。黑客可以利用管理员的权限获取网站上的文件或在网页上挂木马和各种恶意程序,这将给网站和访问网站的网民带来极大的危害。
第一步:很多新手从网上下载SQL通用防注入系统的程序,用在需要防注入的页面首页,防止他人进行手动注入测试。
但是,如果使用SQL注入分析器,则可以轻松跳过反注入系统并自动分析其注入点。再过几分钟,您的管理员帐户和密码将被分析。
第二步:针对进样分析仪的预防,通过实验找到了一种简单有效的预防方法。首先,我们需要知道SQL注入分析器是如何工作的。在操作过程中,发现软件不是指向“admin”管理员帐户,而是指向权限(如flag=1)。这样,无论管理员帐户如何更改,都无法逃脱检测。
第3步:由于无法逃脱检测,我们将创建两个帐户,一个是普通管理员帐户,另一个是防止注入的帐户。如果找到一个权限最大的账号制造假象,吸引软件的检测,账号内容超过1000个汉字,就会迫使软件进入分析账号加载状态的全过程,甚至出现资源耗尽和崩溃。现在让我们修改数据库。
1. 修改表结构。修改管理员帐户字段的数据类型,将文本类型更改为最大字段255(实际上,这就足够了)。如果你想把它变大,你可以选择备忘录类型),并设置相同的密码字段。
2. 修改表格。在Id1中设置管理员权限账号,输入大量汉字(最好超过100个字符)。
3. 将真正的管理员密码放在Id2之后的任何位置(例如ID549)。
我们通过以上三个步骤完成了对数据库的修改。
此外,您应该了解您创建的Id1帐户实际上是一个具有真正权限的帐户。现在电脑处理速度这么快,如果遇到软件一定要计算出来,就不安全了。只要管理员登录页面文件上写字符限制就行,即使对方使用这个帐号密码有上千个字符也会被屏蔽,而真正的密码可以不受限制。
版权声明:本文内容由互联网用户自发贡献,本站不承担相关法律责任.如有侵权/违法内容,本站将立刻删除。
