iT邦幫忙

2019 iT 邦幫忙鐵人賽

0
Security

資訊安全大補帖系列 第 48

資安補帖─Day48─用XAMPP操作SQL了解SQLi-1

前言

開始來一些實作操作的文章,
今天先安裝XAMPP,在操作SQL指令

正文

先安裝XAMPP

  1. Google搜尋XAMPP
  2. 點選下載
  3. 根據你自己的OS選擇要下載的版本
    • Windows
    • Mac
    • Linux
  4. 下載完就打開來安裝,一直按下一步就可以了
  5. 安裝完後打開XAMPP Control Panel
  6. 打開會是這個畫面
  7. 點擊Mysql和Apache的"Start"
  8. 打開網頁 在網址列上輸入127.0.0.1
    • 然後點PHPMyAdmin
  9. 跑出這個頁面就代表你成功了

建立資料表

建立簡單帳號密碼資料庫

CREATE DATABASE `FCU`;
use FCU;
CREATE TABLE `Users` (id VARCHAR(10),user VARCHAR(10), password VARCHAR(255));
INSERT INTO Users (id,user,password)
      VALUES ( "1","admin", "4a4be40c96ac6314e91d93f38043a634X" );

今天
好比說你要登入

你輸入了 帳號: admin 密碼: meow

假設拼出來的 SQL 指令長這樣

SELECT * from Users
  where user = 'admin' and password = md5('meow');

密碼不對啥都沒有

空空der


字串是用單引號包的呢

那在參數裡加個 ' 好了

帳號: admin' 密碼: meow

SELECT * from Users
  where user = 'admin'' and password = md5('meow');

這行拿去跑會噴錯誤

語法錯誤



上一篇
資安補帖─Day47─WAF
下一篇
資安補帖─Day49─推薦閱讀:PHP安全日曆(PHP SECURITY CALENDAR)
系列文
資訊安全大補帖52

尚未有邦友留言

立即登入留言