• 2024-11-20[极客大挑战 2019]BabySQL
    打开页面是一个登录界面,直接用admin’or1#试试深浅回显为:这里我们分析一下这个报错,near后跟的单引号中的内容为1#'andpassword='a',那么说明sql语句就是从这里开始语法不正确的,模拟一下正常的sql应该是select*fromtablewhereusername='admin'or1#password='a'',这
  • 2024-11-19ctfshow web-75
     由于本题过滤了strlen,没办法使用web72的uaf的方式绕过命令执行的限制连接数据库查询,通过构造一个可以连接数据库的php脚本,来查询数据库内的数据try{  //使用PDO(PHPDataObjects)创建一个新的数据库连接对象,指定DSN、用户名(root)和密码(root)  $dbh=newPDO('my
  • 2024-11-19MySQL 日常运维命令总结(一)
    一、连接数据库使用root用户和指定密码连接本地MySQL数据库root@localhost:(none)>`mysql-uroot-p'password'`指定主机和端口连接MySQL数据库root@localhost:(none)>`mysql-uroot-p'password'-h127.0.0.1-P3306`使用指定的套接字文件连接MySQL数据
  • 2024-11-17CTFWeb篇04-SQL注入
    SQL注入什么是SQL注入SQL注入就是指WEB应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数代入数据库查询,攻击者可以通过构造不同的SQL语句来是实现对数据库的任意操作。即通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串
  • 2024-11-16sqli-labs
    sqli-labsLess-1基于错误的GET单引号字符型注入index.php分析error_reporting(0);不反馈错误isset($_GET['id'])检查($_GET['id'])参数是否设置LIMIT0,1从第一条开始记录,只取一条记录1.推测闭合方式?id=1\输入\,后面是',推测是单引号闭合输入?id=1'报错输
  • 2024-11-16[网鼎杯 2018]Fakebook 1
    [网鼎杯2018]Fakebook1打开实例发现为博客列表,有登录跳转和类似注册或者添加博客的join跳转查看源码无果打开登陆页,尝试万能密码没有用,尝试从join入手,用admin去随便join一个显示博客不存在期间尝试多种sql注入方法均没有效果,转去其他方向尝试dirsearch目录爆破,发现了
  • 2024-11-14Nuxt.js 应用中的 schema:beforeWrite 事件钩子详解
    title:Nuxt.js应用中的schema:beforeWrite事件钩子详解date:2024/11/14updated:2024/11/14author:cmdragonexcerpt:schema:beforeWrite钩子是Vite提供的一个功能强大的生命周期钩子,允许开发者在JSONSchema被写入之前执行自定义操作。利用这个钩子,您可以对模式进
  • 2024-11-13mysql查询表列数
    1.使用DESCRIBE命令:DESCRIBE语句可以返回表的结构信息,包括列名、类型、键等。可以通过查询DESCRIBE的结果集的行数来得到表的列数。DESCRIBEtable_name;2.使用SHOWCOLUMNS命令:SHOWCOLUMNS语句可以显示指定表的列信息,包括列名、类型、键等。可以通过查询SHOWCOLUMNS的结果集的
  • 2024-11-11[极客大挑战 2019]LoveSQL
    打开是一个登录界面使用admin'or1#万能密码绕过密码登录再使用admin'orderby3#找回显的列数,结果为3,再使用a'unionselect1,2,3#找回显的列,结果为2,3后面就是常规的union注入流程#找数据库和表名a'unionselect1,database(),group_concat(table_name)frominfor
  • 2024-11-10Nuxt.js 应用中的 schema:extend事件钩子详解
    title:Nuxt.js应用中的schema:extend事件钩子详解date:2024/11/10updated:2024/11/10author:cmdragonexcerpt:schema:extend钩子使开发者能够扩展默认数据模式,为特定业务需求添加自定义字段和验证。categories:前端开发tags:Nuxt钩子数据扩展自定
  • 2024-11-07sql注入学习记录
    Sql注入思路1、搜索目标通过谷歌语法(如公司inurl:.asp?id=)查找目标网站通过fofaviewer进行查询目标 2、查找注入点存在位置,参数与数据库交互的地方,可能出现在get参数,post参数,user-agent,cookie等地方 3、测试是否存在注入点通过在参数后添加符号’,”,),)),查看页面是否
  • 2024-11-07Schema Free
    向量检索服务DashVector在设计上支持SchemaFree,在插入Doc、更新Doc、插入或更新Doc时,可设置任意KeyValue结构的字段(Field),如下所示:Python示例:collection.insert(Doc(id='1',vector=np.random.rand(4),fields={'name':'zhangsan
  • 2024-11-06dvwa-sql注入中级
    因为页面上只能选择相应数字查询,因此需要抓包进行注入;首先通过语句判断是字符型还是数字型:id=1and1=1--+id=1and1=2--+如图,两次返回结果不同,因此这是一个数字型注入。然后依照流程爆出当前表列数和回显位,爆出当前数据库名字(这一步就省略了);接着,要利用information_sch
  • 2024-11-06mysql的 information_schema 数据库介绍
    information_schema是MySQL中的一个系统数据库,它提供了关于数据库元数据的信息。元数据是指描述数据库结构和内容的数据,例如表、列、索引、用户权限等。information_schema数据库是只读的,用户不能对其进行修改。位置information_schema数据库存在于每个MySQL实例中,不需要
  • 2024-11-05动态生成表-判断表是否存在性能对比
    SHOWTABLESLIKE查询直接使用SHOWTABLESLIKE'table_name'来判断表是否存在。结果为空表示表不存在。$tableName='your_table_name';$res=Db::query("SHOWTABLESLIKE'{$tableName}'");if(empty($res)){echo"表不存在";}else{
  • 2024-11-04SQL注入学习笔记
    BUUSQLCOURSE1一道很入门的的SQL手工注入,所用到的知识点也就只有union和group_concat联合注入和输出,带给我的主要收获是解读了题解代码后初步理解了查数据库名->表名->列名—>具体元素的三板斧,和具体查询原理0unionselectdatabase(),group_concat(table_name)frominform
  • 2024-11-04关系型数据库一个Schema下有多个Table
    在数据库中,Schema(模式)是一种用于逻辑组织数据库对象的结构。它主要起到以下作用:组织数据库对象:Schema用于分组和管理数据库对象,如表、视图、存储过程等。它帮助开发者在一个数据库中更清晰地组织数据和代码,尤其是对于大型或复杂项目。访问控制:Schema也是数据库权限管理的
  • 2024-11-03mysql 5.7.x版本查看某张表、库的大小 思路方案说明
    @目录摘要(推荐)第一种方案:查询information_schema.TABLES的字段DATA_LENGTH使用场景优点:网上大多案例都是查询系统表的字段DATA_LENGTH去计算大小缺点:DATA_LENGTH不都是实时更新的,由表引擎决定,同时DATA_LENGTH是压缩后的字节大小(及大小经过压缩后计算得到DATA_LENGTH)第二种方案:查
  • 2024-11-03定时任务频繁插入数据导致锁表问题 -> 查询mysql进程
    场景定时任务每10秒插入一批数据,由于过去频繁导致锁表,从而无法再插入数据解决方案具体查看博客:https://blog.csdn.net/weberhuangxingbo/article/details/88709556数据库中执行sql:SELECT*FROMinformation_schema.innodb_trxSELECT*FROMinformation_schema.innodb_lo
  • 2024-11-03Django Swagger文档库drf-spectacular
    在使用DRF的时候,通常的文档有:默认文档RestFrameWork、CoreAPI、Swagger,Swagger是最流行的API文档库,在绝大多数服务端开发中都有用到,之前我们使用了CoreAPI来生成文档,一方面是它不够流行,没办法和其他工具结合,另一方面可能是我不熟悉,所有有些接口并不能按照我们的要求来使用。因此我
  • 2024-10-30SQL注入语句笔记(很全,持续更新ing)
    SQL注入原理:1.参数用户可控化:前端传递给后端的参数是用户可以控制的2.参数带入数据库查询:传入的参数拼接到SQL语句,且带入数据库查询sql注入常用知识:1.information_schema:表示所有信息,包括库、表、列2.information_schema.tables:记录所有表名信息的表3.information_sch
  • 2024-10-30GaussDB数据库中逻辑对象关系简析
    初次接触openGauss或GaussDB数据库的逻辑对象,被其中的表空间、数据库、schema和用户之间的关系,以及授权管理困惑住了,与熟悉的MySQL数据库的逻辑对象又有明显的不同。本文旨在简要梳理下GaussDB数据库逻辑对象之间的关系,以加深理解。1、GaussDB数据库逻辑对象1.1表空间、Databas
  • 2024-10-29查看数据库锁状态命令
    在MySQL中,你可以使用几种不同的方法来查看当前的锁状态。以下是一些常用的命令和查询语句:1.使用`SHOWENGINEINNODBSTATUS`命令:  这个命令会提供InnoDB存储引擎的状态信息,其中包括了当前锁定的信息。你可以在输出中找到`TRANSACTIONS`部分,那里列出了所有活动事
  • 2024-10-29GaussDB数据库中逻辑对象关系简析
    初次接触openGauss或GaussDB数据库的逻辑对象,被其中的表空间、数据库、schema和用户之间的关系,以及授权管理困惑住了,与熟悉的MySQL数据库的逻辑对象又有明显的不同。本文旨在简要梳理下GaussDB数据库逻辑对象之间的关系,以加深理解。1、GaussDB数据库逻辑对象1.1表空间、Databas