WEB: SQL-инъекции

WEB: SQL-инъекции

5.40M

Похожие презентации:

Structured Query Language

Structured Query Language

Коллекции и курсоры

Коллекции и курсоры

Проектування та розробка бази даних

SQL. Ռելացիոն բազայի կառուցվածքը

SQL. Ռելացիոն բազայի կառուցվածքը

Проектирование архитектуры нашего приложения

Проектирование архитектуры нашего приложения

Andmebaasisüsteemide Oracle ja PostgreSQL kasutamine

Andmebaasisüsteemide Oracle ja PostgreSQL kasutamine

მონაცემთა ბაზები. საინფორმაციო სისტემები

მონაცემთა ბაზები. საინფორმაციო სისტემები

Хранимые процедуры. Функции

Хранимые процедуры. Функции

Язык программирования Python. SQL

Язык программирования Python. SQL

Web-2

1. WEB: SQL-инъекции

2.

Работаем с СУБД
Есть такой, проходи
пусти, я котик123,
пароль: ******
Найдена 1 запись
Select * from users where
User=“котик123”

3.

SQL

4.

Иерархия исполнения
LIMIT
ORDER BY
HAVING
GROUP BY
WHERE
join
FROM
SELECT

5.

6.

Select, from
SELECT username FROM user_table;
Столбцы какие?
откуда?

7.

WHERE
SELECT * FROM user_table
WHERE username=“котик123”;
Условия поиска?

8.

UNION
SELECT username FROM user_table
UNION SELECT username FROM kittens;
Это тоже посмотри

9.

ORDER BY
SELECT * FROM user_table
ORDER BY username;
По порядку!

10.

Обычный запрос
SELECT * FROM user_table
WHERE username=“котик123”;

11.

А если так?
SELECT * FROM user_table
WHERE username=“
” or 1=1 or “
”;

12.

false
true
false
… “ “ OR 1=1 OR “ “;
0 + 1 + 0 = 1!
Access granted

13.

Другая таблица?
SELECT * FROM user_table
WHERE username=“
“ UNION SELECT * FROM FLAG_TABLE WHERE “” = “
”;

14.

ПРАКТИКА!

English Русский Правила