SQL Injection.

Slides:



Advertisements
Similar presentations
輔導處八月份主管會報 報告人 : 洪自強. 輔導組本月工作 【行政文書】 建置 100 學年度工作資料夾 擬訂 100 學年度第一學期行事曆 【認輔工作】 匯整 100 學年度續接個案資料 輔導教師持續關心責任班級高關懷個案 統整國小轉銜個案資料 (3 位 ) 【通報案件】 通報性騷擾案件 1 件.
Advertisements

武汉库得克 软件有限公司 公司简介 发展机遇 特点 一家专注于质量管理平台和整体 解决方案的提供商
第二节 交通运输布局变化的影响 北京市第十一中学 张芊丽 2008年1月.
Database Management System 資料庫管理系統
第五十章 旅外华人现代汉语文学 回目录.
自然與生活科技領域 國中1上 第2單元 生命的維持(一) 生物體的協調 6-1 神經系統 6-2 內分泌系統.
区位因素分析专题.
文题: (1)请以“从此,我(他/她)不再________”为题,写一篇不少于600字的记叙文。 (2)以“做人从_____开始” 为题,写一篇不少于600字的文章。 (3)请以“你还会____吗”为题写一篇600字以上的文章,文体不限,诗歌除外。
第八章   股利分配 本章主要介绍了影响股利政策的因素、主要的股利政策、股利支付的程序及方式、 股票分割及股票回购等问题。通过本章的学习,要求掌握不同股利政策的具体做法,掌握股票股利的作用,了解股票分割和股票回购的涵义及影响。
导入新课 俄罗斯首任总统叶利钦.
1Z 会计基础与财务管理 1Z 会计的职能与核算方法 …2011 会计的职能(熟悉) 一、会计的概念
文明史范式.
金陵科技学院·思想政治理论课教学部 思想道德修养与法律基础 “基础”教研室.
SQL的简单查询.
项目二、资金运动管理 模块三、营运资金管理
脾胃病的饮食调理和中医治疗 贵州省中医院脾胃病肝病内科 医生:朱国琪.
学校消防安全培训.
教育老兵教學經驗談 何進財 曾任 教育部社教司司長 訓委會常務委員 中央警官學校兼任講師 台北市立師範學院兼任副教授 國立陽明大學兼任副教授
龙腾炎盛鞋业 打造卓越管理人员特训营.
教育的“麦田”,我们该如何守望? ——读《麦田里的守望者》 王振中 二0一二年九月二十六日.
第八章 海岸地貌 海南三亚天涯海角.
马克思主义基本原理概论 上海理工大学社会科学学院 张欢欢.
七年级历史上册 第二单元 国家产生和社会的变革.
第四章 会计职业道德 第三节 会计职业道德教育.
第四节 世界的聚落 鸭暖中学地理备课组 学习目标 聚落的主要形式 了解 聚落的形成和发展 世界文化遗产 探索 聚落的形成和发展 环保意识 增强 人地协调发展的环境观.
纳税是有收入的成年人的事,与我们中学生无关。
我的自述 —— 近代中国民族资本主义的发展历程。
第八章 所有者权益 第一节 所有者权益概述.
●车辆消防安全知识——讲座 车辆消防安全知识 2017/3/17 巫山县公安消防大队 1.
省示范校建设项目验收工作汇报 赵小平
婴幼儿意外伤害预防与急救 上海人口与发展研究中心母婴健康工作室 原上海长海医院儿科 方 凤 宝优网:
新课程高考数学试卷特点分析及复习备考 刘延彬 年3月6日 合肥.
有趣的文字 口 天 天 口 口 木 木 口 下 上 士 干.
2013年普通高等学校招生全国统一 考试(四川卷)考试说明解读
普通高等教育 “十五”国家级规划教材 新世纪全国高等中医药院校规划教材
学习目标: 1、掌握田径运动竞赛的主要规则和裁判方法。 2、通过教学与实践,初步具备小型田径运动会的裁判工作能力。
第 八 章 資料庫安全 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。
岗位分析与岗位评价 阿里巧巧
98年桃園縣農村再生總體規劃 社區輔導提案研習營
复习专题: 协调发展 社会和谐 学校:上师大附属外国语中学 说课者:李瑞英.
《采购管理暂行办法》讲解 采购管理办公室
综述政府法制监督工作.
固定资产相关案例 【例1】华西股份有限公司于2012年1月从华东公司购入两辆同型号的二手汽车,价格为12万元,这两辆汽车均需要修理才能使用。其中一辆汽车是由于发动机损坏需进行大修理,估计支出为50 000元,而另一辆是由于电气路线损坏只需简单维修即可使用,预计修理支出为3000元。 在对上述汽车发生的修理费用进行会计处理时,该公司会计王某认为,由于这两辆汽车均需修理才能投入使用,因此根据受益原则,这两辆汽车的维修费用支出作为资本性支出计入所购汽车的成本之中,增加汽车的账面价值;而另一会计李某认为,这两辆汽
升旗仪式 1、你能讲一讲天安门广场升旗仪式的整个过程吗?你 2、在学校活动中,哪些礼仪最能体现我们的风采? 印象最深的是什么?
节日安全防范 人员安全 损耗 消防安全 紧急及意外事件处理.
第17课 科学技术的成就(一).
习题课四.
第一节 固定资产概述 第二节 固定资产取得 第三节 固定资产折旧 第四节 固定资产后续支出 第五节 固定资产期末计价 第六节 固定资产处置
高考第一轮复习课件—— 中国的交通、商业和旅游业.
俄语字母的发音体系 阅读规则.
广东省高校招生 志 愿 填 报 浅 析 广东省教育考试院
关注消防 关爱生命 ——中小学生消防常识培训辅导 3/22/2017.
模块: 中国近代史 主题: 近代化的起步.
转正述职报告 乐恩公司 史航
資料庫管理 資管二 賴柏融.
计量法相关规定 一、计量器具的基本规定 1.计量器具是指能用以直接或间接测出被测对象量值的装置、仪器仪表、量具和用于统一量值的标准物质,包括计量基准器具、计量标准器具、工作计量器具。 2.计量器具具有准确性、统一性、溯源性、法制性四个特点。 3.衡量计量器具质量和水平的主要指标是它的准确度等级、灵敏度、鉴别率(分辨率)、稳定度、超然性以及动态特性等,这也是合理选用计量器具的重要依据。
项目二 资 金 筹 集 实 务 广东创新学院 会计系 1.
SQL Injection (資料隱碼) 簡介
SQL Injection (資料隱碼) 學生:a 吳倩瑜 指導教授:梁明章.
本讲内容 SQL 概述 SQL 的查询功能 SQL 的操作功能 SQL 的定义功能.
Web安全基础教程
中级会计实务之借款费用.
內切圓及內心 內切圓的圓心簡稱內心 內切圓半徑 四邊形的內切圓 三角形的內切圓 圓的外切四邊形 圓的外切三角形 顧震宇老師
第 4 章 資訊技術 授課教師:__________ 工業工程與管理概論 陳潭,洪堯勳,姚銘忠,黃欽印 著 前程文化出版.
長期照顧十年計畫2.0 簡介 衛生福利部 107年3月31日.
資料庫應用與實作 一到六章重點、習題.
第 1 章 認識資料庫系統.
Web安全基础教程
溝通與衝突管理 主講人: 恆春國小校長 江國樑.
第九章产品成本计算方法概述 一、生产特点对成本计算的影响 二、管理要求对成本计算的影响 三、成本计算的主要方法.
Presentation transcript:

SQL Injection

网页中随处可见的数据库操作

URL中附带的查询参数

SELECT * FROM users WHERE name=‘abc123’ 这样的一条语句对应的服务器端代码是什么呢

Server:. …. $name = _Get(name);. $sql = “SELECT. FROM users WHERE Server: … $name = _Get(name); $sql = “SELECT * FROM users WHERE name=‘” + $name + “’”; mysql_do_query($sql); … 拼接,引号

SELECT * FROM users WHERE name=‘abc123’ and passwd=‘123456’ 登陆所对应的语句

SELECT * FROM users WHERE name=‘’ and passwd=‘’ abc’ or ‘1=1 SELECT * FROM users WHERE name=‘’ and passwd=‘’ CONDITION COMPROMISED SELECT * FROM users WHERE name=‘abc’ or ‘1=1’ and passwd=‘XXXXXX’ 网页中,用户有很多操作实质上是与数据库打交道,用户可以输入任意字符,若未能良好的过滤,那么用户就可以执行网站维护者所不希望的数据库操作

SELECT * FROM users WHERE name=‘’ and passwd=‘’ abc’ or ‘1=1’ or ‘1=1 SELECT * FROM users WHERE name=‘’ and passwd=‘’ CONDITION ALWAYS TRUE SELECT * FROM users WHERE name=‘abc’ or ‘1=1’ or ‘1=1’ and passwd=‘XXXXXX’

Client Server Filter(request_data) Send(data) data = Receive() Filter(received_data) do_SQL_query(data) Handle(returned_data) Server

Client Server Filter(request_data) Send(data) data = Receive() Filter(received_data) do_SQL_query(data) Handle(returned_data) Server

http://202.38.79.49:8888/login.php

Bypass account authentication. Dump whole database.

Client Server Filter(request_data) Send(data) data = Receive() Filter(received_data) do_SQL_query(data) Handle(returned_data) Server