SQL注入(一·概念) #Web安全攻防

SQL注入是一种攻击手法,利用Web应用对用户输入数据的验证不足,可以操纵查询语句,从而影响数据库操作。前端是用户可见的网页部分,包括HTML、CSS和JavaScript。后端处理编程逻辑和数据库交互。Burpsuite作为示例工具展示了请求和响应的过程,强调了注入攻击的可能性。

要学SQL注入,第一个问题就是啥是SQL注入:看看官方的解释, SQL注入就是指Web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数代入数据库查询,攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。

那么什么是Web应用程序,什么是前端,什么是后端呢?

【下面作者就举一个形象的例子】

<!--大家都有浏览器吧!无论大家用的是Google,还是微软浏览器,我们打开浏览器都会有一个页面--!>

例:

 

这就是页面,而这里面几乎所有的程序都可称为Web应用程序。也视为是Web前端开发的部分,它【前端】其实是三个部分组成:html,css和javascript三个部分【这个我在html网页开发中提过】

官方解释:上面是前段和后端的一些开发语言和知识,前端用于给用户展示信息,并且提交一些查询的信息,前端通过网络将需要查询信息发送给后端,后端进行编程逻辑处理,去数据库查询我们需要的信息,后端查询到需要的信息,又通过网络返回给前端,前段通过编程逻辑展示在我们面前。 这就是一个完整的回路。 我们看到了,后端是需要去数据库查询需要的数据的,那么我们的任何引用,或者一个平台,都不可或缺的要去查询数据库的数据。

<!--也就是说,前端会把客户的请求【就是你在上面搜索框输入的信息】打包成一个数据包,然后通过tcp或udp协议传输到后端,然后后端通过你的需求发送回你需要的文件--!>

具体我通过Burpsuite来呈现给你们看:

【Burpsuite是一个暴力破解的软件,但功能很多,这里作者用到的是它的proxy,即代理功能】

 

【我也不知道能不能发!!!所以就发出来了,应该没啥事吧!!!】

<!--大家可以看到有两个: 一个是 请求【Request】 ,另一个是 回答【Response】 !-->

即一个是自个电脑发出的请求包和另一端服务器发出的回答包!!!

大家马上就要问了:作者,TMD你讲这么多与SQL注入有个鸡毛关系!!!

我·想说:嘻嘻,不急不急!!! 马占重头戏都来了!!!

说回概念,SQL注入不就是将请求包的条件改变,利用Web应用程序对输入数据的合法性概念不清晰【即分不清楚此语句的好坏】,进而使我们有机可乘,将数据发送到后端,达到拿到我们想要拿到的东西的目的。

{下期更精彩,关注我,带你体验做黑客的快乐!!!}

-----我是合法公民-------     嘿嘿

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

》(。・ω・。)ノ♡

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值