MySQL约束攻击的原理和复现方式
更新时间:2023年11月13日 08:37:22 作者:bouIevard
这篇文章主要介绍了MySQL约束攻击的原理和复现方式,具有很好的参考价值,希望对大家有所帮助,
MySQL约束攻击的原理和复现
在MySQL数据库中,数据是有字符长度限制的。
对于下面这个数据库:
username和password的限制都是设置为15个字符。
当尝试注册一个超过15字的字符串时,系统就会报错。
这是由于在MySQL环境变量sql_mode中添加了STRICT_TRANS_TABLES字样,规定了严格模式。
但如果有些数据库没有设置严格模式,系统就会对输入的非法字符串进行转换,
出现了SQL约束攻击
在SQL注册的时候,是不能够注册已经存在的用户名的(即使在后面加空格也不可以),但是可以考虑创建一个名字叫‘admin 1’的超长字符串用户,在SQL比对时,它显然是和admin不同的(因为末尾有一个1,所以空格是有效的),但是在非严格模式下,SQL会去掉后面多余的字符,将“admin ”注册到用户中,
数据库就变成了这样:
发现数据库中出现了两个admin,然后再使用admin、mypass登陆,由于比对的时候,末尾的空格是被忽略掉的,所以就成功登入了admin。
总结
如有错误或未考虑完全的地方,望不吝赐教
相关文章
注意的就是路径的正确书写。然后在my.ini的配置中,server_id必须保持唯一性。port避免使用3306,服务名称和mysql5.1不一样即可。2011-05-05
这篇文章主要介绍了MySQL迁移到PostgreSQL操作指南,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起来学习吧2023-10-10
因为Mysql5.7的更新特性还是非常多,所以这篇文章就给大家介绍以下在centos上面编译安装mysql5.7的教程。本文给大家介绍的步骤还是相对来说比较详细的,相信对大家具有一定的参考借鉴价值,有需要的朋友们可以参考借鉴,下面来一起看看吧。2016-11-11
这篇文章主要介绍了在mysql中使用一条sql语句插入多条数据,效率非常高,但是原理其实很简单,希望对大家有所帮助2014-09-09
这篇文章主要为大家详细介绍了mysql 8.0.12 winx64下载安装教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2018-09-09
这篇文章主要给大家介绍了关于Mac上安装Mysql的详细步骤及配置,文中通过图文介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2023-02-02
这篇文章主要介绍了总结三道MySQL联合索引面试题,众所周知MySQL联合索引遵循最左前缀匹配原则,在少数情况下也会不遵循,创建联合索引的时候,建议优先把区分度高的字段放在第一列2022-08-08
本篇文章教给大家用shell写一个mysql数据备份脚本,这是一个简单备份MYSQL数据库的方法,一起跟着学习下吧。2017-12-12
MySQL数据库索引是一种数据结构,用于提高数据查询的效率,加快数据检索的速度。索引基于树结构实现,可以通过B+树等算法来优化索引效率。MySQL中常见的索引类型包括主键索引、唯一索引、普通索引、全文索引等2023-04-04
为了提高数据库效率,建索引是家常便饭;那么当查询条件为2个及以上时,我们是创建多个单列索引还是创建一个联合索引好呢?他们之间的区别是什么?哪个效率高呢?本文将详细测试分析下。2021-05-05
最新评论