全球主机交流论坛

标题: 关于SQL注入的小问题。 [打印本页]

作者: flydon 时间: 2015-9-9 15:21
标题: 关于SQL注入的小问题。
所有的程序只有一句SQL 而且是select的，这种被sql注入的风险大么？或者有什么方法能注入他？

作者: 欧阳逍遥 时间: 2015-9-9 15:22
关键是传入参数带入查询的时候过滤好一般没啥事。网上也有很多通用的过滤代码套进去

作者: flydon 时间: 2015-9-9 15:24

欧阳逍遥发表于 2015-9-9 15:22
关键是传入参数带入查询的时候过滤好一般没啥事。网上也有很多通用的过滤代码套进去 ...

具体能介绍下么

作者: 欧阳逍遥 时间: 2015-9-9 15:33

flydon 发表于 2015-9-9 15:24
具体能介绍下么

通常注入是通过修改参数改变你最后的sql语句来实现猜解其他表内容或者执行其他SQL的

比如你页面 http://www.xxx.com/show.php?id=1 这个传参到你代码里你没有过滤
他就可以修改 1 为特定的sql 做联合查询或者子查询来进行他想要的操作。

如果你做了简单的 intval($id) 他就没办法注入了。。。。

作者: flydon 时间: 2015-9-9 15:33

欧阳逍遥发表于 2015-9-9 15:22
关键是传入参数带入查询的时候过滤好一般没啥事。网上也有很多通用的过滤代码套进去 ...

具体能介绍下么

作者: Polymer_dg 时间: 2015-9-9 16:16
过滤 post get cookie 传入的参数即可

作者: funders 时间: 2015-9-9 16:25
把你的地址发出来让基佬们检测一下即可

作者: flydon 时间: 2015-9-10 08:54

funders 发表于 2015-9-9 16:25
把你的地址发出来让基佬们检测一下即可

http://139.129.118.138/search/ 这是地址，求检测。。。- -求不要暴露各种shell

作者: 浪子阿Q 时间: 2015-9-10 20:34
只能为数字，看他怎么注入

作者: fuckjp 时间: 2015-9-10 20:52
你这个查询到的数据太老了吧

作者: flydon 时间: 2015-9-11 09:37

fuckjp 发表于 2015-9-10 20:52
你这个查询到的数据太老了吧

- -自己用的，而且数据更新很快啊。你可以用最新的乌云公开的内容查询看看。反正我没有登录权限是没法查最新漏洞的。有登录权限，也不用看我这玩意。

作者: fuckjp 时间: 2015-9-11 12:29

flydon 发表于 2015-9-11 09:37
- -自己用的，而且数据更新很快啊。你可以用最新的乌云公开的内容查询看看。反正我没有登录权限是没法查 ...

虽然我是注册用户，但是级别太低，还是不能用搜索的

作者: flydon 时间: 2015-9-11 14:29

fuckjp 发表于 2015-9-11 12:29
虽然我是注册用户，但是级别太低，还是不能用搜索的

- -所以啊。。得先爬下来啊。有些东西很容易忘记的。。另外。如果可以我还真愿意把整张网页都爬下来。。

作者: fuckjp 时间: 2015-9-11 15:12

flydon 发表于 2015-9-11 14:29
- -所以啊。。得先爬下来啊。有些东西很容易忘记的。。另外。如果可以我还真愿意把整张网页都爬下来。。 ...

很好，我支持你

作者: flydon 时间: 2015-9-11 15:47

fuckjp 发表于 2015-9-11 15:12
很好，我支持你

妈蛋，网址我都是用shell爬的，你写个python的爬虫爬内容，我就把内容也一起爬下来。

作者: fuckjp 时间: 2015-9-11 17:13

flydon 发表于 2015-9-11 15:47
妈蛋，网址我都是用shell爬的，你写个python的爬虫爬内容，我就把内容也一起爬下来。 ...

那不就成山寨乌云了嘛会不会被人搞

乌云大概有多少万文章？

作者: flydon 时间: 2015-9-13 19:00

fuckjp 发表于 2015-9-11 17:13
那不就成山寨乌云了嘛会不会被人搞

乌云大概有多少万文章？

乌云没多少文章，整个开放列表爬下来也才3W的网址。。。就是说。乌云这货最多也就4W的文章（包括未公开的。）

作者: fuckjp 时间: 2015-9-14 09:08

flydon 发表于 2015-9-13 19:00
乌云没多少文章，整个开放列表爬下来也才3W的网址。。。就是说。乌云这货最多也就4W的文章（包括未公开的 ...

(, 下载次数: 0)

(, 下载次数: 0)

自己搞了个PYTHON工具，爬完了，4W条，要用PHP+MYSQL来做查询吗

作者: w3school 时间: 2015-9-14 09:38
记得用变量绑定。

作者: flydon 时间: 2015-9-14 09:42

fuckjp 发表于 2015-9-14 09:08
自己搞了个PYTHON工具，爬完了，4W条，要用PHP+MYSQL来做查询吗

- -直接写入txt，我用bash分分钟搞定。我只是想实现查询功能而已，妈蛋，那么多的URL 谁要全部的东西？我记得我用python写的时候，妈蛋，太蛋疼了。所以，爬我用了bash，写入sql我也用了bash，查询用了php

作者: fuckjp 时间: 2015-9-14 11:03

flydon 发表于 2015-9-14 09:42
- -直接写入txt，我用bash分分钟搞定。我只是想实现查询功能而已，妈蛋，那么多的URL 谁要全部的东西？我 ...

隔一月来一次，

得搞个增量采集导入啊，或者数据库里命令去重复

作者: flydon 时间: 2015-9-15 08:04

fuckjp 发表于 2015-9-14 11:03
隔一月来一次，
得搞个增量采集导入啊，或者数据库里命令去重复

- -你还是没明白我的意思。我只是要搜索而已。乌云不给搜索。。懂么？- -而且我已经成功了。都已经搞定了。获取数据的脚本是2分钟更新一次。。。。

作者: lxqfff 时间: 2015-9-15 08:08
提示: 作者被禁止或删除内容自动屏蔽

作者: flydon 时间: 2015-9-15 08:09

lxqfff 发表于 2015-9-15 08:08
发现漏洞一枚，查询了下，我浏览器先卡死了

。。。。。。。。请使用谷歌浏览器。火狐，数据量太大会挂。。。。

作者: fuckjp 时间: 2015-9-15 15:21

flydon 发表于 2015-9-15 08:09
。。。。。。。。请使用谷歌浏览器。火狐，数据量太大会挂。。。。

http://120.27.41.90/

这个，你值得拥有

作者: flydon 时间: 2015-9-15 15:40

fuckjp 发表于 2015-9-15 15:21
http://120.27.41.90/

这个，你值得拥有

坑，我自己已经拥有了啊。没必要啊。另外，那玩意只是自用的。。。另外我发这个帖子只是想要大家来看看有没有洞。。。。。坑啊。另外，这个IP是你？牛X

欢迎光临全球主机交流论坛 (https://443502.xyz/)