扫码关注官方微信

扫码下载APP
返回顶部
首页 > 资讯 > 数据库 >写在SQL注入后
  • 378

0
分享到

写在SQL注入后

2024-04-02 19:04:59 378人浏览 泡泡鱼
摘要

1. 查询语句后只能直接调用函数,不能直接调用存储过程,例如:select function() from dual可以,select procedure() from dual不行;2


1. 查询语句后只能直接调用函数,不能直接调用存储过程,例如:select function() from dual可以,select procedure() from dual不行;

2. 查询语句中无法执行DML或DDL操作,也就是说如果被调用的函数里有insert、update、delete、create之类的写操作,就会报错,除非函数被声明为自治事务,关键字PRAGMA AUTONOMOUS_TRANSACTION;

create or replace function funinject(ftable varchar2, fcol varchar2) return 
pragma autonomous_transaction;
my_sql varchar2(1000);
begin
    my_sql := 'update '|| ftable || ' sets '|| fcol ||'=''hack''';
    execute immediate my_sql;
    commit;
    return 'inject'
end funinject

3. 如果函数中有insert、update、delete、create之类的写操作,则只能注入到insert、update、delete之类的子查询里,例如:insert into table values(1,select function() from dual);

4. oracle不能注入多语句,除非被注入的SQL动态语句在begin和end之间例如:

create or replace function funinjecting(ftable varchar2, fcol varchar2) return varchar2 
is my_sql varchar2(1000);
begin
    my_sql := 'begin update '|| ftable || ' set '||fcol||'=''hack'';end;';
    execute immediate my_sql;
    return 'inject'
end funinjecting



unwrap Oracle SQL源码工具

Http://yun.baidu.com/s/1kTgP2SZ

您可能感兴趣的文档:

--结束END--

本文标题: 写在SQL注入后

本文链接: https://lsjlt.com/news/43527.html(转载时请注明来源链接)

有问题或投稿请发送至: 邮箱/279061341@qq.com    QQ/279061341

猜你喜欢
  • 写在SQL注入后
    1. 查询语句后只能直接调用函数,不能直接调用存储过程,例如:select function() from dual可以,select procedure() from dual不行;2...
    99+
    2024-04-02
  • java防sql注入代码怎么写
    为了防止SQL注入攻击,您可以采取以下Java代码编写方法:1. 使用预编译的语句和参数化查询。```javaString sql ...
    99+
    2023-08-25
    java sql
  • SQL注入
                     &...
    99+
    2024-04-02
  • sql注入 --显错注入
    前提知识 数据库:就是将大量数据把保存起来,通过计算机加工而成的可以高效访问数据库的数据集合数据库结构:库:就是一堆表组成的数据集合表:类似 Excel,由行和列组成的二维表字段:表中的列称为字段记录:表中的行称为记录单元格:行和列相交的地...
    99+
    2021-01-16
    sql注入 --显错注入 数据库入门 数据库基础教程 数据库 mysql
  • sql注入漏洞在什么层
    sql注入可以分为平台层注入和代码层注入,平台层注入是由不安全的数据库配置或数据库平台的漏洞所导致出现,而代码层注入主要是由于程序员对用户输入数据未进行细致地过滤导致的。...
    99+
    2024-04-02
  • 发生sql注入攻击后如何解决
    发生sql注入攻击后的解决方法:示例//原SQL代码select Orders.CustomerID,Orders.OrderID,Count(UnitPrice) as Items,SUM(UnitPrice*Quantity)...
    99+
    2024-04-02
  • sql注入之堆叠注入
    一、堆叠注入的原理 mysql数据库sql语句的默认结束符是以";"号结尾,在执行多条sql语句时就要使用结束符隔 开,而堆叠注入其实就是通过结束符来执行多条sql语句 比如我们在mysql的命令行...
    99+
    2023-09-09
    sql mysql php 信息安全 网络安全
  • sql注入写文件都有哪些函数
    sql注入写文件的函数有:文件写入使用into outfile函数,例如:union select 1,"",3,4,5 into outfile 'C:/Inetpub/wwwroot/cc.php'...
    99+
    2024-04-02
  • SQL注入--盲注及报错注入
    盲注查询 盲注其实就是没有回显,不能直观地得到结果来调整注入数据,只能通过其他方式来得到是否注入成功,主要是利用了一些数据库内置函数来达到的 布尔盲注 布尔很明显Ture跟Fales,也就是说它只会根据你的注入信息返回Ture...
    99+
    2014-11-30
    SQL注入--盲注及报错注入
  • pikachu---SQL注入
    1、产生原因 SQL注入漏洞,主要是开发人员在构建代码时,没有对输入边界进行安全考虑,导致攻击者可以通过合法的输入点提交一些精心构造的语句,从而欺骗后台数据库对其进行执行,导致数据库信息泄漏的一种漏洞。 2、攻击流程 3、注入点类型 ...
    99+
    2014-12-28
    pikachu---SQL注入 数据库入门 数据库基础教程
  • php sql注入
    文章目录 一、什么是sql注入二、sql注入处理1、使用内置函数2、使用pdo预处理语句 三、安全注意事项 一、什么是sql注入 在应用程序中,为了和用户交互,允许用户提交输入数...
    99+
    2023-08-30
    sql php mysql php sql 注入 sql 注入
  • SQL注入进阶-order by注入
    目录 01-Order By简介 02-Order By注入场景 03-Order By注入姿势 03.1-结合union select进行盲注 03.2-结合if()进行盲注 03.3-结合if() + sleep()进行盲注 ...
    99+
    2023-08-31
    sql php
  • Mybatis-plus sql注入及防止sql注入详解
    目录一、SQL注入是什么?二、mybatis是如何做到防止sql注入的1. #{} 和 ${} 两者的区别2.PreparedStatement和Statement的区别3.什么是预...
    99+
    2022-11-13
    mybatis-plus sql注入 mybatis-plus防止sql注入
  • 为什么mongodb不存在SQL注入
    mongodb不存在SQL注入的原因:当客户端程序在MongoDB中组合一个查询时,它会构建一个BSON对象,而不是一个字符串,因此传统的SQL注入攻击并不是问题,MongoDB将查询表示为BSON对象,例如:BSONObj my_quer...
    99+
    2024-04-02
  • MySQL插入SQL语句后在phpmyadmin中注释乱码的解决方法
    这篇文章将为大家详细讲解有关MySQL插入SQL语句后在phpmyadmin中注释乱码的解决方法,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。MySQL插入SQL语句后在...
    99+
    2024-04-02
  • 简单聊一聊SQL注入及防止SQL注入
    目录SQL注入附防止sql注入的一些建议总结SQL注入 SQL注入是通过操作输入来修改事先定义好的SQL语句,对用户输入的字符串进行过滤,转义,限制或处理不严谨,导致用户可以通过输入...
    99+
    2024-04-02
  • SQL注入教程之报错注入
    目录SQL报错注入概述报错注入的前提条件Xpath类型函数extractvalue()updatexml()其他函数floor()、rand()、count()、group...
    99+
    2024-04-02
  • pikachu之SQL注入
    一. pikachu介绍 1.1 简介 Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。 如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。 1.2 pikac...
    99+
    2023-09-02
    sql php 安全
  • 【SQL注入详解】
    文章目录 前言题目1.SQL注入原理,危害,类型,防护措施,绕过方式,写入webshell的前提条件原理:危害:类型:1.union联合注入2.报错注入3.布尔盲注4.时间盲注5.二...
    99+
    2023-09-05
    sql 数据库 安全 php web安全
  • 防止SQL注入
    SQL注入是指攻击者通过在输入的数据中注入恶意的SQL代码,以获取非法访问、窃取敏感信息等操作。以下是一些防止SQL注入的方法: 使用参数化查询:使用参数化查询可以防止SQL注入攻击,参数化查询是指在执行查询时,将参数与查询语句分离,使得...
    99+
    2023-09-10
    sql 数据库 java mysql
软考高级职称资格查询
热门wiki
近期文章
推荐阅读
热门问答
热门标签
编程网,编程工程师的家园,是目前国内优秀的开源技术社区之一,形成了由开源软件库、代码分享、资讯、协作翻译、讨论区和博客等几大频道内容,为IT开发者提供了一个发现、使用、并交流开源技术的平台。

  • 官方手机版

  • 微信公众号

  • 商务合作