web安全mysql基础

1项目实验环境

目标靶机：OWASP_Broken_Web_Apps_VM_1.2

渗透测试机：Kali-linux-2018.2-vm-amd64

1.sql注入所实现的目的效果

（1）.对于Web应用程序而言，用户核心数据存储在数据库中，例如MySQL、SQL Server、Oracle；

（2）.通过SQL注入攻击，可以获取、修改、删除数据库信息，并且通过授权来控制web服务器等其他操作；

（3）.SQL注入即攻击者通过构造特殊SQL语句，入侵目标系统，致使后台数据库泄露数据的过程；

（4）.因为SQL注入漏洞造成的严重危害性，所以常年隐居OWASP  TOP10的榜首！

2.SQL注入危害

（1）.拖库导致用户数据泄露；

（2）.危害web等应用的安全；

（3）.失去操作系统的控制权；

（4）.用户信息被非法买卖；

（5）.危害企业及国家安全；

3.SQL基础

（1）.登陆OWASP上的mysql

命令：mysql -uroot -p‘owaspbwa’

（2）.查看数据库

命令：show databases;

命令：select database(); 查看当前所在库  databases//查看数据库=/=/database//selec函数使用

命令；use dvwa;进入dvwa数据库

（3）.查看收据库的表

show tables;  查看整个表的名字

（4）.查看表结构

命令：desc users;

（5）.查看表记录==查看表中的内容

命令：select * from users;   后加\G可以查看字段值

拓展

sql语句四类

sqlserver(T_SQL):
DDL—数据定义语言(CREATE，ALTER，DROP，DECLARE)

DML—数据操纵语言(SELECT，DELETE，UPDATE，INSERT)

DCL—数据控制语言(GRANT，REVOKE，COMMIT，ROLLBACK)

Oracle SQL(P_SQL) 语句可以分为以下几类:
1.数据操作语言语句[Data manipulation language，DML]
2.数据定义语言语句[Data definition language，DDL]
3.事务控制语句[transaction control statement]
4.会话控制语句[session control statement]

（6）.查询指定字段值