2014-09-28 77 views
0

我需要一些幫助。我可以使用SQL注入來改變服務器數據庫嗎?

說我使用SQL注入方法來獲取網站的數據庫名稱,並設法從表中獲取所有數據,是否有可能更改該數據,而無需使用基本的SQL客戶端在服務器上識別?

謝謝。

(我寧願如果答案是通用於所有類型的數據庫,但如果沒有,數據庫的問題版本的MySQL)

+1

好像你想闖入一個網站... – 2014-09-28 04:45:41

回答

2

這取決於授予數據庫帳戶的權限,數據庫用戶是Web服務器用於連接到數據庫以及SQL注入漏洞的性質。

如果此漏洞的開放程度足以允許您從所有表中提取所有數據,則很可能網站易於創建和更改過程,以及對錶執行INSERT/UPDATE/DELETE操作。 (同樣的注意力不集中,並且缺乏對創建容易受SQL注入攻擊的網站的關注,這通常與致力於確定數據庫特權的同類注意力不相上下......(我只會使用「root」,或者我會使用具有對所有對象的全部權限的數據庫帳戶...)

這是完全有可能的,而且比較容易,創建一個網站,很容易受到這種注射。

(和StackOverflow的問題和答案充斥着你需要用這種方式使網站變得脆弱的代碼示例SQL注入漏洞只是冰山一角如果一個網站以這種方式是不安全的,這幾乎是給定的其他漏洞(SQL注入剛好是一個ve RY易漏洞被利用。)

而且這些不安全的模式,開發商已經習慣了......

(畢竟,這個網站我開發「僅用於開發/教育/我用/等「,」所以安全不是問題「,或者」我會在處理所有開發,調試,測試後的安全漏洞「之後解決這個問題。yada,yada,yada

...那些寫作模式不安全的代碼變得牢固。

0

您通常僅限於abilities of the statement the injection occurs in。但是,如果所謂的堆棧查詢/語句是可能的(即,一次執行多個語句),則可以注入其他語句,然後僅限用於連接到數據庫服務器的用戶的權限。

當然,您必須確保注入的片段將現有語句完成爲有效語句,否則不會執行任何語句。

相關問題