Home Sign Up Sign In
jianzhao123
V2EX  ›  问与答

关于 Python 配合 SQL 注入漏洞的问题

  •   
  •   jianzhao123 · Dec 24, 2018 · 2426 views
    This topic created in 2743 days ago, the information mentioned may be changed or developed.

    楼主目前在校学生非计算机专业,最近面了学校网络中心一个岗位,面试老师让我做一个 Python 的网络安全项目,目前在用 SQL 搞,由于新手使用 SQL,想问下大佬,目前判断能不能注入漏洞还能用’或是 and 1=1 了吗?还有就是有没有其他替换 SQL 用别的办法的建议,谢谢各位。

  • SQL
  • Python
  • 非计算机
  • 漏洞
    9 replies    2018-12-24 09:40:10 +08:00
    BBge
        1
    BBge  
       Dec 24, 2018 via Android   ❤️ 1
    上 sqlmap
    yanaraika
        2
    yanaraika  
       Dec 24, 2018 via Android   ❤️ 1
    prepare 或者用 orm
    KgM4gLtF0shViDH3
        3
    KgM4gLtF0shViDH3  
       Dec 24, 2018 via iPhone   ❤️ 1
    把 sqlmap 学精了就好
    wzw
        4
    wzw  
       Dec 24, 2018 via iPhone   ❤️ 1
    是不是用 nosql 数据库就没注入问题了?
    clino
        5
    clino  
       Dec 24, 2018 via Android   ❤️ 1
    研究下 orm 比如 sqlalchemy 是如何防止的是不是也能参考下?
    jianzhao123
        6
    jianzhao123  
    OP
       Dec 24, 2018 via iPhone
    谢谢大家,老师的意思大概是让我用 python 把链接爬下来,SQL 注入漏洞的不是关键问题,毕竟我非计算机专业(逃🙃🙃🙃)
    co3site
        7
    co3site  
       Dec 24, 2018 via Android   ❤️ 1
    不同的过滤规则,注入的形式就千奇百怪了,用好 sqlmap 就行了。又不是面试工作,随便做个子域名爆破、CMS 漏洞检测就好了
    msg7086
        8
    msg7086  
       Dec 24, 2018
    第一条规则,不要把输入参数拼进 SQL 查询。
    whoami9894
        9
    whoami9894  
       Dec 24, 2018 via Android
    @wzw

    一样能注,比如 mongodb 用 php get 传参:
    username[$ne]=a&passwd[$ne]=b
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   1105 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 47ms · UTC 18:07 · PVG 02:07 · LAX 11:07 · JFK 14:07
    ♥ Do have faith in what you're doing.