内容简介:MySQL数据库的Innodb引擎的注入
使用场景
当目标程序过滤了关键字,如 information ,在注入时,使用select database()关键字查询出当前库名后,无法通过查询information_schema.tables表查询当前库的表名
Innodb引擎的一些特点
1 关键字@@innodb_version,会返回与@@version相似的结果
2 在 MySQL 5.6以上的版本中,会在系统库 MYSQL库 中存在两张与innodb相关的表 innodb_index_stats 和 innodb_table_stats .
其中 innodb_index_stats 存储的是innodb引擎的库名,表名及其对应的索引名称. innodb_table_stats 存储的是innodb引擎的库名和表名,结构如下图所示 
注入时的利用
直接以sqli-labs为例 
写在最后
使用 mysql.innodb_table_stats 表注入的缺点是无法通过查询得出列名,在实际场景中,列名可通过爆破的方式获取.
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 浅谈非常态SQL注入防护,提升数据库安全
- Angular 4 依赖注入教程之二 组件中注入服务
- 服务端注入之Flask框架中服务端模板注入问题
- 服务器端电子表格注入 - 从公式注入到远程代码执行
- SQL注入测试技巧TIP:再从Mysql注入绕过过滤说起
- 手机抓包+注入黑科技HttpCanary——最强大的Android抓包注入工具
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
