V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
jianzhao123
V2EX  ›  问与答

关于 Python 配合 SQL 注入漏洞的问题

  •  
  •   jianzhao123 · 2018-12-24 00:34:03 +08:00 · 1983 次点击
    这是一个创建于 2197 天前的主题,其中的信息可能已经有所发展或是发生改变。

    楼主目前在校学生非计算机专业,最近面了学校网络中心一个岗位,面试老师让我做一个 Python 的网络安全项目,目前在用 SQL 搞,由于新手使用 SQL,想问下大佬,目前判断能不能注入漏洞还能用’或是 and 1=1 了吗?还有就是有没有其他替换 SQL 用别的办法的建议,谢谢各位。

    9 条回复    2018-12-24 09:40:10 +08:00
    BBge
        1
    BBge  
       2018-12-24 01:03:38 +08:00 via Android   ❤️ 1
    上 sqlmap
    yanaraika
        2
    yanaraika  
       2018-12-24 04:31:56 +08:00 via Android   ❤️ 1
    prepare 或者用 orm
    KgM4gLtF0shViDH3
        3
    KgM4gLtF0shViDH3  
       2018-12-24 07:27:54 +08:00 via iPhone   ❤️ 1
    把 sqlmap 学精了就好
    wzw
        4
    wzw  
       2018-12-24 07:30:45 +08:00 via iPhone   ❤️ 1
    是不是用 nosql 数据库就没注入问题了?
    clino
        5
    clino  
       2018-12-24 07:35:00 +08:00 via Android   ❤️ 1
    研究下 orm 比如 sqlalchemy 是如何防止的是不是也能参考下?
    jianzhao123
        6
    jianzhao123  
    OP
       2018-12-24 08:02:00 +08:00 via iPhone
    谢谢大家,老师的意思大概是让我用 python 把链接爬下来,SQL 注入漏洞的不是关键问题,毕竟我非计算机专业(逃🙃🙃🙃)
    co3site
        7
    co3site  
       2018-12-24 08:04:34 +08:00 via Android   ❤️ 1
    不同的过滤规则,注入的形式就千奇百怪了,用好 sqlmap 就行了。又不是面试工作,随便做个子域名爆破、CMS 漏洞检测就好了
    msg7086
        8
    msg7086  
       2018-12-24 09:20:17 +08:00
    第一条规则,不要把输入参数拼进 SQL 查询。
    whoami9894
        9
    whoami9894  
       2018-12-24 09:40:10 +08:00 via Android
    @wzw

    一样能注,比如 mongodb 用 php get 传参:
    username[$ne]=a&passwd[$ne]=b
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2734 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 09:06 · PVG 17:06 · LAX 01:06 · JFK 04:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.