如果一个 mysql 的库没有储存用户名和密码,而且连接这个库的用户仅限于操作此库,还有必要做防注入吗?
litter123 · 2017-07-11 18:04:32 +08:00 · 3270 次点击这是一个创建于 2687 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
oh 2017-07-11 18:48:56 +08:00
不怕来个 delete from TABLE where 1=1 就行
|
 |
2
notreami 2017-07-11 18:56:50 +08:00
直接来个爆库,或者先写 500 个 G 的数据,看看磁盘大小。
|
 |
3
cxbig 2017-07-11 19:23:34 +08:00
注入有多个层级的危害。最轻的是盗取或破坏该数据库的内容,所以要防注入。
|
 |
4
claysec 2017-07-11 19:29:08 +08:00
```php
http://exploitable-web.com/link.php?id=1' union select 1,2,(select tab1 from (select decode(encode(convert(compress(post) using latin1),des_encrypt(concat(post,post,post,post),8)),des_encrypt(sha1(concat(post,post,post,post)),9)) as tab1 from table_1)a),4-- ``` 走好不送 |
 |
5
fanyuxi 2017-07-11 23:28:07 +08:00 via Android
从删库到跑路。
|
 |
6
virusdefender 2017-07-12 00:04:31 +08:00
sql 注入某些时候可以弹 shell 的。。
|
 |
7
msg7086 2017-07-12 03:41:12 +08:00
没什么必要防止注入。代码从一开始就写正确的话本来就不会有注入漏洞,何须去防。
|
 |
8
ToBeHacker 2017-07-12 10:01:40 +08:00
注入肯定是要防的啊,这可是底层数据啊。即使没有什么价值,也可能将你的服务器搞瘫使其他服务也不能用。
|
Select Language