SQL 注入分类

1. 数字型注入

当输入的参数为整型时，则有可能存在数字型注入漏洞。

假设存在一条 URL 为：
HTTP://www.aaa.com/test.php?id=1

可以对后台的 SQL 语句猜测为：

1、 sqlmap介绍

sqlmap是一款支持MySQL, Oracle,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird,Sybase和SAP MaxDB等数据库的各种安全漏洞检测工具。

2、 sqlmap的下载以及安装

（1）linux下git直接安装

Kali系统自带的sqlmap

0x01 SQL注入原理

当客户端提交的数据未作处理或转义直接带入数据库，就造成了sql注入。

经过了我们前段时间的sql注入学习，今天我们来深入学习一下sql注入之cookie注入

首先我们打开靶场环境

随便点开一篇文章

尝试在结尾构造一下 and 1=1

可见是使用了防注入的，但是目前我们是使用get方式提交的参数,我们将id=171包括后面的全部删除一下试试

显示数据库出错

这里存在cookie注入，首先我们恢复成原来的界面

然后我们下载一个ModHeader浏览器插件，将cookie设置为id的值。然后我们访问

SQL 注入是一种攻击技术，攻击者通过在应用程序预期输入数据的地方（如表单字段、URL 参数等）插入（或“注入”）恶意的 SQL 代码片段。当应用程序没有正确处理这些输入，而是将其直接拼接到后端数据库查询语句（SQL）中并执行时，攻击者注入的恶意代码就会被数据库引擎执行。这导致攻击者能够读取、修改、删除数据库中的敏感数据，甚至完全控制数据库服务器。

1、sql 注入是什么

sql 注入就是用户通过输入的参数，拼接到原先的 sql 中，成为 sql 的一部分，从而影响 sql 的功能和执行结果

在关于SQL注入，百度的解释是这样的：SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。

现在大多数系统都使用B/S架构，出于安全考虑需要过滤从页面传递过来的字符。通常，用户可以通过以下接口调用数据库的内容：URL地址栏、登陆界面、留言板、搜索框等。这往往会出现安全隐患，为了更好的保护数据泄露或服务器安全，为了方便的安全测试，便编写此文。

1. SQL注入简介

在软件开发的不同时期、阶段，对技术架构的理解、选择和应用都有着不一样的诉求。微服务架构是当前互联网业界的一个技术热点，它的思想也更符合我们的目标：

• 根据业务模块划分服务种类。
• 每个服务可以独立部署并且互相隔离。
• 通过轻量的 API 调用服务。
• 服务需要保证良好的高可用性。

微服务能够使我们的开发效率更高，沟通成本更低，响应速度更快，迭代周期更短。当然，每一种技术都不可能完美无缺，微服务也有自身的短板。但是，我们依然可以从微服务的理念和技术中学到很多东西，希望大家能够喜欢这一期的 Java 微服务项目。

Eclipse：

一个功能强大且广泛使用的Java集成开发环境（IDE）。提供了丰富的功能和插件生态系统，可以满足大多数Java开发需求。支持代码自动完成、调试、版本控制等功能，使得开发人员可以高效地编写和调试Java代码。它还具有强大的工程管理和构建工具，例如Maven和Ant。Eclipse的一个重要特点是它的可扩展性，通过安装插件，可以集成其他语言和框架的开发支持。