来~来~一个有趣的问题:根据这段数据库错误提示能对该mysql网站进行注入攻击吗?怎么登陆进去呢?//---------------------------------------------------
//在登陆用户框中输入‘的字符后,出现如下提示:
Database error in SubdreamerInvalid SQL: SELECT userid, usergroupid, username, password FROM sd_users WHERE username = ''p'
Error: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'p'' at line 1
Error number: 1064
Date: Tuesday 15th of November 2005 08:58:31 AM
File: http://******/vip/index.php-----------------------------------------------------
我是说网站有这样的信息出,该怎么利用登陆进去啊?
//在登陆用户框中输入‘的字符后,出现如下提示:
Database error in SubdreamerInvalid SQL: SELECT userid, usergroupid, username, password FROM sd_users WHERE username = ''p'
Error: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'p'' at line 1
Error number: 1064
Date: Tuesday 15th of November 2005 08:58:31 AM
File: http://******/vip/index.php-----------------------------------------------------
我是说网站有这样的信息出,该怎么利用登陆进去啊?
解决方案 »
- tabcontrol上加了个关闭按钮,如何使鼠标移上去时按钮的颜色变一下呢
- 帮忙看看c#windows窗体应用程序连接数据库的代码,连接不成功
- 请求因 HTTP 状态 404 失败: Not Found。
- 请问:C#环境里,有用过运动控制卡、io卡等板卡的么?
- 关于HttpWebRequest的post问题
- DataGridViewComboBoxColumn中选择问题!
- 求 .NET C# 2.0的混淆器工具!
- 想用C#写一个通用访问数据库类,请各位指点!!
- 急问一个关于treeview的很奇怪的问题
- 简单的Application问题
- DataGrid的模板列问题
- 100分紧急求助各位大侠,求解datagridview数据编辑方面的问题解决方法
' OR 1 = 1 OR username = '
应该就行了
' OR 1 = 1 OR username = ' 之类的好象不得啊!
不行啊,它的sql语句应该是这样的:
SELECT userid, usergroupid, username, password FROM sd_users WHERE username = ''p'
and password='aaa'
后面还有个密码条件啊! 也用这办法去掉密码吗?
[]中间的是注入的。
我注入后,它没再提示详细的错误信息,但是说登陆不成功!
就算密码那也来段:
password = '[' OR password = ']' 也不行。
--注释好像是SQL Server专有的吧……。
他是根据用户名从数据库中取用户ID,密码等信息,然后再跟输入的密码比较,只要用户名不对,就无法取得用户信息,即使碰巧用户名有,也通不过密码验证。
因此虽然是漏洞,但不是想利用就能利用的。