web安全mysql基础
1项目实验环境
目标靶机:OWASP_Broken_Web_Apps_VM_1.2
渗透测试机:Kali-linux-2018.2-vm-amd64
1.sql注入所实现的目的效果
(1).对于Web应用程序而言,用户核心数据存储在数据库中,例如MySQL、SQL Server、Oracle;
(2).通过SQL注入攻击,可以获取、修改、删除数据库信息,并且通过授权来控制web服务器等其他操作;
(3).SQL注入即攻击者通过构造特殊SQL语句,入侵目标系统,致使后台数据库泄露数据的过程;
(4).因为SQL注入漏洞造成的严重危害性,所以常年隐居OWASP TOP10的榜首!
2.SQL注入危害
(1).拖库导致用户数据泄露;
(2).危害web等应用的安全;
(3).失去操作系统的控制权;
(4).用户信息被非法买卖;
(5).危害企业及国家安全;
3.SQL基础
(1).登陆OWASP上的mysql
命令:mysql -uroot -p‘owaspbwa’
(2).查看数据库
命令:show databases;
命令:select database(); 查看当前所在库 databases//查看数据库=/=/database//selec函数使用
命令;use dvwa;进入dvwa数据库
(3).查看收据库的表
show tables; 查看整个表的名字
(4).查看表结构
命令:desc users;
(5).查看表记录==查看表中的内容
命令:select * from users; 后加\G可以查看字段值
拓展
sql语句四类
sqlserver(T_SQL):
DDL—数据定义语言(CREATE,ALTER,DROP,DECLARE)
DML—数据操纵语言(SELECT,DELETE,UPDATE,INSERT)
DCL—数据控制语言(GRANT,REVOKE,COMMIT,ROLLBACK)
Oracle SQL(P_SQL) 语句可以分为以下几类:
1.数据操作语言语句[Data manipulation language,DML]
2.数据定义语言语句[Data definition language,DDL]
3.事务控制语句[transaction control statement]
4.会话控制语句[session control statement]
(6).查询指定字段值