[SQL Injection] SQL注入後的結果即時顯示工具,可用來教學!

SQL Injection 攻擊名列 OWASP TOP 10 中的 Top 1 !身為工程師去了解SQL注入原理是必要的。SQL注入合成出新的語句難以憑空想像,通常需要使用程式來查看,若每測試一個語句就要寫幾行程式,太麻煩了!這裡開發出網頁版的時實 SQL 合成,特別是再滲透測試時可以拿來猜測與利用。

這個工具是以js開發的,目的是隨時都可以用,不用安裝!(點擊這)

使用教學如下
  1. 將 SQL 語句貼至「SQL HERE」,注入前的預覽會在「PREVIEW」區域。
  2. 填寫要注入的參數名稱於「Parameter Name」。
  3. 填寫要注入的參數名稱於「Value」。
  4. 注入後的 SQL 語句會在「AFTER INJECTION」區域。
  5. 可由「PREVIEW」比對「AFTER INJECTION」,就知道 SQL 注入的威力!
  6. 補充小常識:要預防被注入、安全的執行SQL,必定要用「Parameterized Query」 + 「Prepared Statement」,缺一不可。

留言

這個網誌中的熱門文章

[RDP] Windows10設定遠端多人多工

[Hyper-V] 讓 Windows 可以吃到超過 16TB 的硬碟!