Python全栈之路系列之MySQL SQL注入
<?
?
<代码> SQL注入> 代码是一种代码注入技术,过去常常用于* * *数据驱动性的应用,比如将恶意的SQL代码注入到特定字段用于实施* * * * * *等。
<代码> SQL注入> 代码的成功必须借助应用程序的安全漏洞,例如用户输入没有经过正确地过滤(针对某些特定字符串)或者没有特别强调类型的时候,都容易造成异常地执行SQL语句。
<代码> SQL注入> 代码是网站* * *中最常用的* * *技术,但是其实SQL注入可以用来* * *所有的SQL数据库。
<人力资源/>& lt;/body> & lt;/html>
演示效果
打开浏览器,输入地址<代码> http://127.0.0.1:8888登录代码>
填写内容如下:
用户名:<代码>研究' or 1=1, asd 代码>
密码:<代码>随便填写一串字母代码>
如图:
当点击<代码>提交> 代码的时候是否会跳转到登陆成功页面?如果你的代码和我一样,那么就会跳转到<代码>登陆成页面> 代码。
为什么出现这种问题?
出现这个问题的主要原因就是因为我们使用了<代码>字符串拼接> 代码的方式来进行SQL指令的拼接。
SQL指令拼接代码
temp “select username 得到user_info where 用户名=' % s ',以及password =,“% s”, %(用户名,pwd)
这是一个正常的SQL拼接出来的结果
9 python全站之路系列之MySQL SL注入