Java教程

利用预编译来SQL注入

本文主要是介绍利用预编译来SQL注入,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

在做CTF时遇到这样一个题目,注入点过滤了SELECT和.还有WHERE等关键词,但是支持多语句查询,这样是可以看到库名列名的,利用如下的方式:

id=1';show tables;%23

但是没法查询字段,于是就可以利用构建预编译语句来绕过过滤。

利用此方法的前提是支持多语句查询。

先来谈谈什么叫预编译,实际上它经常被用来防止SQL注入,介于SQL注入的根本原理是未将数据与代码有效区分开,预编译的目的就在于解决这一点。

我们常见的有关防止SQL注入的预编译手段都是基于后端代码的,即PHP或Java的PDO,而这次的用法就是使用SQL命令直接预编译语句。

MySQL的预编译语法为:

定义预编译语句

PREPARE stmt_name FROM preparable_stmt;

执行预编译语句

EXECUTE stmt_name [USING @var_name [, @var_name] ...];

解释一下,定义的时候,preparable_stmt代表的是预留数据位置的SQL语句,而stmt_name是类似变量名,代表这个SQL语句,下面举个例子:

PREPARE test FROM 'SELECT (? + ?)';

即定义了一个两数相加的SQL预编译语句
执行时,@var_name即变量,可以带入语句中进行执行,如:

SET @a = 1;
SET @b = 2; //给变量赋值

EXECUTE test USING @a,@b;//执行

这道题目主要就是利用此方法来绕过黑名单,其具体方法也不止一种,可以利用concat()将关键词分开处理,也可以将整个语句使用char()处理后执行。
 

这篇关于利用预编译来SQL注入的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!