sql注入

从0到1：SQL注入与XSS攻防实战——数据库安全加固全攻略

今天我们就来拆解SQL注入与XSS的“作案手法”，并给出一套可落地的数据库安全加固方案——毕竟，防住这两类攻击，能解决80%的

小张在编程·2025-07-10 16:25

DVWA靶场-SQL Injection (Blind)SQL注入盲注

概念SQLInjection（Blind），即SQL盲注；注入：可以查看到详细内容；盲注：目标只会回复是或不是，没有详细内容；盲注，与一般注入的区别在于，一般的注入攻击者可以直接从页面上看到注入语句的执行结果，而盲注时攻击者通常是无法从显示页面上获取执行结果，甚至连注入语句是否执行都无从得知，因此盲注的难度要比一般注入高。类型基于布尔值的盲注；基于时间的盲注；基于报错的盲注；基于布尔值的盲注基于布

mlws1900·2025-07-10 02:52

ORM框架实战：MyBatis与JPA深度对比及企业级开发全攻略（终极优化版）

一、ORM框架技术演进与选型策略1.1ORM框架的演进史JDBC时代：手动管理连接池、事务、SQL注入风险。Hibernate/JPA：2006年JPA标准化，推动ORM框架自动化。

Android洋芋·2025-07-10 01:49

web渗透sql注入1之access

web渗透sql注入1之access环境搭建：win2003+asp+access数据库特性：access数据库没有root，不能读写文件，不能执行命令，只能借助字典得到数据注入方式：联合注入偏移注入注入过程

合作小小程序员小小店·2025-07-08 16:15

2025年渗透测试面试题总结-2025年HW(护网面试) 31（题目+回答）

目录2025年HW(护网面试)311.自我介绍2.渗透测试流程（五阶段模型）3.技术栈与开发经历4.自动化挖洞实践5.信息搜集方法论6.深度漏洞挖掘案例8.SQL注入实战技巧9.AWVS扫描与防御10.

独行soc·2025-07-07 16:50

sqli-labs靶场第1-6关

sqli-labs靶场在线版的网址为https://sqli-labs.bachang.org/,该网址下前10关通过get的方法传递参数id进行sql注入的学习，格式像这样-->https://sqli-labs.bachang.org

foxfoxfoxfoxxxx·2025-07-06 17:58

SQL注入与防御-第四章-7：带外通信+自动利用工具

SQL注入利用——带外通信（OOB）一、核心概念：什么是带外通信？

在安全厂商修设备·2025-07-06 08:49

SQL注入与防御-第四章-5：权限提升

SQL注入利用——权限提升全解析（按数据库分类拆解）一、核心背景与目标在SQL注入攻击中，权限提升是突破“普通用户限制”的关键步骤。

在安全厂商修设备·2025-07-06 08:19

SQL注入与防御-第四章-6：窃取哈希口令

SQL注入利用——窃取哈希口令一、核心逻辑：哈希口令的价值与窃取路径数据库中，用户口令通常以哈希形式存储（防明文泄露）。

在安全厂商修设备·2025-07-06 08:19

SQL注入与防御—第二章-2：确认SQL注入与自动化工具介绍

SQL注入发现-确认SQL注入一、核心逻辑：精准验证注入点确认SQL注入，是在发现疑似注入的基础上，通过构造特定payload，精准验证输入点是否可控、能否影响SQL执行逻辑，核心是“构造测试语句→观察响应差异

在安全厂商修设备·2025-07-06 08:49

SQL注入与防御-第三章：复查代码中的SQL注入

复查代码中的SQL注入一、核心逻辑通过静态/动态代码分析，识别代码中直接拼接用户输入、未验证过滤的危险编码行为，定位“将用户可控数据传入SQL执行函数”的风险点，从代码源头预防SQL注入。

·2025-07-06 08:49

spring boot 之集成 druid数据库连接池

主要提供的功能：数据库连接池、数据库连接池监控、SQL查询优化、数据源管理、防御SQL注入、统计和监控。

我叫晨曦啊·2025-07-05 21:35

2025web建议

·2025-07-05 17:06

浅谈企业 SQL 注入漏洞的危害与防御

目录浅谈企业SQL注入漏洞的危害与防御一、SQL注入漏洞的现状二、SQL注入带来的风险三、SQL注入漏洞的分类（一）按利用方式分类（二）输出编码（三）使用预编译语句（四）日志监控（五）使用WAF（WebApplicationFirewall

阿贾克斯的黎明·2025-07-05 14:44

绕过SQL注入监测的技术

绕过SQL注入监测的技术SQL注入监测通常通过WAF(Web应用防火墙)、IDS/IPS或应用层检测机制实现：1.编码混淆技术十六进制编码：SELECT*FROMusersWHEREid=0x31OR1

·2025-07-05 01:53

Web安全测试详解

攻击的方式也非常多，常见的有SQL注入、跨站脚本攻击、跨站请求伪造、缓存区溢出等。由此，我

·2025-07-05 01:22

【SQL知识】SQL注入中-- +和#的区别

目录1.基本概念对比2.实际SQL注入示例（1）原始SQL语句（2）使用--+注释（3）使用#注释3.关键区别图示4.如何选择？

KPX·2025-07-03 17:14

SQLmap 使用指南：开启安全测试高效之旅

SQLmap作为一款强大的开源自动化SQL注入工具，在安全测试领域扮演着至关重要的角色，它能够精准检测并有效利用Web应用程序中潜藏的SQL注入漏洞。

·2025-07-03 17:14

22-4 SQL注入攻击 - post 基于报错的注入

1、post基于错误单引号注入回显分析注入点位置已经发生变化。在浏览器中，无法直接查看和修改注入点。不过，可以通过使用相应的插件来完成修改任务。修改方法：(一般是网站前端做了限制，我们才需要用到bp绕开限制)要修改Less11注入点的请求，可以使用BurpSuite工具来捕获请求包，并使用其中的"Repeater"功能来进行修改。具体操作步骤如下：首先打开BurpSuite并设置代理，然后在浏览器

技术探索·2025-07-03 02:20

[第一章 web入门]SQL注入-2

1通过updatexml取数据从页面发现有一个提示如果加上?tips=1的话，通过burpsuite发包可以通过updatexml来查看回显，可以通过这个取到数据下面是通过updatexml来注入，这时4步中用到语句name=admin’andupdatexml(1,concat(0x7e,(select(database())),0x7e),1)#&pass=bbname=admin’andup

weixin_40546436·2025-07-03 02:20

Web学习：SQL注入之联合查询注入

SQL注入（SQLInjection）是一种常见且危害极大的Web安全漏洞，攻击者可以通过构造恶意的SQL语句窃取、篡改数据库中的数据，甚至控制整个数据库服务器。

kaikaile1995·2025-07-02 13:12

【蓝队】XX集团股份有限公司体系化监测挖掘抵御0day漏洞防护技战法|护网|高级|研判|监测|hw

MetaCRM客户关系管理系统sendsms.jsp任意文件上传AgentSyste代理商管理系统login.actionStruts2远程代码执行用友NClistUserSharingEvents存在SQL

chenyzzz·2025-07-01 20:40

【代码审计】安全审核常见漏洞修复策略

秋说·2025-07-01 12:11

JDBC中PreparedStatement对象详解（认真看完包学会）

PreparedStatement是JDBC中用于执行预编译的SQL语句的接口，能够有效地防止SQL注入，并提高性能。

码力无边-OEC·2025-07-01 06:37

PreparedStatement详解

代替直接拼接SQL值防止SQL注入：自动处理特殊字符，提高安

empti_·2025-07-01 06:07

【Go语言成长之路】模糊测试

可以通过模糊测试发现的漏洞示例包括SQL注入、缓冲区溢出、拒绝服务和跨站点脚本攻击。注：Go语言中模糊测试已经内置，具体可以参考:GoFuzzingdocs,将来还会添加更多功能。一、前提Go1

风华同学·2025-06-30 18:18

《网络安全自学教程》- SQL注入漏洞详解

《网络安全自学教程》SQL注入的原理其实很简单：由于后端过滤不严格，把用户输入的数据当成SQL语句执行了。SQL注入1、SQL注入常出现在哪些功能？

士别三日wyx·2025-06-29 18:44

MySQL与SQL Server的差异及测试手法

SQL注入漏洞分析：MySQL与SQLServer的差异及测试手法引言如果系统使用的是SQLServer数据库，则可以实现写入Webshell，而MySQL则不行。

ke0hly·2025-06-29 16:30

AI生成代码安全审计：从AST逆向到对抗样本生成

引言随着Codex、Copilot等AI代码生成工具的普及，开发效率显著提升的同时，也引入了新型安全风险：模型生成的代码可能隐含漏洞（如SQL注入、XSS）、逻辑错误，或被恶意样本“投毒”。

梦玄海·2025-06-29 16:57

后端技术：利用 MySQL 实现数据加密

后端技术：利用MySQL实现数据加密关键词：MySQL数据加密、AES加密、数据库安全、数据保护、加密算法、密钥管理、SQL注入防御摘要：本文深入探讨如何在MySQL数据库中实现数据加密，保护敏感信息免受未授权访问

大厂资深架构师·2025-06-29 01:06

2.jdbc之工具类，SQL注入攻击和JDBC事务

4.JDBC工具类抽取工具类1）编写配置文件在src目录下创建config.properties配置文件driverClass=com.mysql.cj.jdbc.Driverurl=jdbc:mysql://192.168.1.224:3306/db14username=rootpassword=1234562）编写jdbc工具类utils文件下（JDBCUtils.java）packagejd

hutc_Alan·2025-06-28 07:26

mysql之jdbc连接数据库和sql注入的问题

一，概述可能是自己的记忆力太差了，经常忘记一些很重要的知识点，记得个大概，等要用的时候就去找，结果还找不到。干脆，记博客里，怎么都找的到。这篇博客主要就是关于Jdbc(javadatabaseconnectivity)和MySql的，记录如何连接数据库及插入数据等等。二，工具及准备工作MyEclipse10,mysql驱动jar包（我用的是这个版本mysql-connector-java-5.0.

·2025-06-28 06:25

聊聊 SQL 注入那些事儿

白露与泡影·2025-06-28 02:32

SQL注入与防御-第四章-1：利用SQL注入--20%

理解常见的漏洞利用一、漏洞利用前提借助应用测试（如第2章）、复查源码技术（如第3章），发现Web应用中易受攻击参数后，进入利用阶段，需先明确：本地数据库辅助：搭建与目标同类型的本地数据库，便于测试、观察SQL

在安全厂商修设备·2025-06-27 22:02

构建一个AI驱动的SQL注入测试系统

而SQL注入（SQLInjection）作为最经典、最普遍的Web安全漏洞之一，至今仍是黑客攻击的主力武器之一。尽管业界已提出各种手段来预防SQL注入，如参数化查询、ORM封装、Web应用

·2025-06-27 12:26

2025年渗透测试面试题总结-2025年HW(护网面试) 13（题目+回答）

2.判断是否为CMS系统3.后台扫描工具推荐4.御剑的字典包5.BurpSuite核心模块6.越权与逻辑漏洞测试7.大规模网站测试经验8.AWVS/AppScan替代方案9.Bypass手法合集10.SQL

·2025-06-26 11:05

2025年渗透测试面试题总结-2025年HW(护网面试) 14（题目+回答）

目录1.SQL注入原理2.XXE攻击（XML外部实体注入）3.SQL注入分类⚙️4.Windows提权方法5.文件上传绕过技巧️6.代码审计核心要点7.逻辑漏洞类型8.验证码绕过方法️9.CSRF原理10

·2025-06-26 11:05

深入浅出ORM：对象关系映射的技术解析

**SQL注入风险**：字符串拼接导致安全隐患2.**代码臃肿**：20%的业务代码被SQL语句占据3.**数据库切换成本*

weixin_47233946·2025-06-25 20:45

FastAPI权限校验漏洞防护，你真的做对了吗？

常见安全漏洞包括横向越权、SQL注入和XSS攻击，解决方案包括资源归属验证、参数化查询和安全头部配置。FastAP

·2025-06-25 16:27

SQL注入攻击及其在SpringBoot中使用MyBatisPlus的防范策略

SQL注入攻击及其在SpringBoot中使用MyBatisPlus的防范策略随着互联网技术的飞速发展，Web应用的安全问题日益凸显，其中SQL注入攻击是最常见的安全威胁之一。

漫天转悠·2025-06-24 12:24

Java安全防线第一篇：SQL注入 - 你的数据库正在“裸奔“吗？

Java安全防线：从漏洞原理到防御实战文章规划SQL注入：你的数据库正在"裸奔"吗？XSS攻击：当你的网站变成黑客的"提线木偶"CSRF漏洞：用户为何在"梦游"中完成交易？

全息架构师·2025-06-23 02:38

网络攻击

0day:Dos:DDos：Webshell：暴力破解：恶意CC：DGA：僵尸：木马：蠕虫：病毒：Ping隧道：DNS隧道：ECA/ETA：SQL注入：字面意思https://blog.csdn.net

Ludwig_Martin·2025-06-22 03:10

2023年全国职业院校技能大赛中职组网络安全竞赛试题B模块—SQL注入测试（PL）

2023年全国职业院校技能大赛中职组网络安全竞赛试题B模块——SQL注入测试（PL）解析题目1.已知靶机存在网站系统，使用Nmap工具扫描靶机端口，并将网站服务的端口号作为Flag（形式：Flag字符串

Beluga·2025-06-22 03:06

Burp靶场——SQL注入（二）允许绕过登录的SQL注入漏洞

一、SQL注入绕过登录的原理SQL注入绕过登录的核心是利用应用程序对用户输入数据的过滤不严格，通过在用户名或密码字段注入恶意SQL代码，篡改原始SQL查询的逻辑，从而达到无需正确凭证即可登录的目的。

小白跑路实录·2025-06-20 22:01

some面试题3

1.MyBatis中#{}和${}的区别总结：✅一、基本区别对比项#{}${}含义预编译参数占位符字符串直接替换底层机制使用JDBC的PreparedStatement使用JDBC的StatementSQL

chen.@-@·2025-06-20 00:31

Web防火墙深度实战：从漏洞修补到CC攻击防御

惊魂一刻：百万数据泄露事件某银行系统被利用SQL注入漏洞：#攻击Payload示例'UNIONSELECTuser,passwordFROMusers--基础加固：Nginx安全配置#/etc/nginx

群联云防护小杜·2025-06-19 23:25

Django入门指南：Python全栈框架解析

PythonWeb框架，遵循MTV（Model-Template-View）模式（类似MVC），提供：全栈功能：ORM、模板引擎、路由、认证等开箱即用：自带Admin后台、缓存、国际化支持安全优先：自动防范SQL

晨曦543210·2025-06-19 05:11

什么业务需要用到waf

WAF需求：防止账户盗用：通过识别和拦截SQL注入、跨站脚本攻击（XSS）等攻击手段，保护用户账户安全，防止攻击者窃取用户凭证。保障交易安全：在

上海云盾第一敬业销售·2025-06-18 18:28

提升网络安全的关键：WAF、CDN与渗透测试

WAF作为一种专门针对Web应用的安全防护工具，能够检测和拦截恶意请求，防止SQL注入、跨站脚本（XSS）等常见攻击。

云盾安全防护·2025-06-18 17:18

MySQL(84)如何配置MySQL防火墙？

MySQL防火墙（MySQLEnterpriseFirewall）是一种MySQL企业版特性，用于保护数据库免受SQL注入和其他恶意活动的攻击。

辞暮尔尔-烟火年年·2025-06-18 07:11

推荐频道