SQL 注入陷阱 - 这是什么意思答案

【问题标题】：SQL Injection Trap - what does this meanSQL 注入陷阱 - 这是什么意思
【发布时间】：2015-02-20 05:04:24
【问题描述】：

过去，当我看到有人试图弄乱输入变量时 - 我只是阻止了他们的 IP……但似乎他们只是使用不同的 IP 并重试。因此，我设置了陷阱以在有人尝试时提醒我，并尝试找出他们试图获取的内容，以便我可以修复任何可能的漏洞。

我尝试过，他们将 var 更改为：

-999.9 / *！30000 UNION ALL SELECT 0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536， 0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536 * / -

我希望有人能帮忙解释一下这是什么意思？

【问题讨论】：

Site has been hacked via SQL Injection 的可能重复项
快速搜索0x31303235343830303536 会在这家精品店中获得多个结果。标记为重复。

标签： mysql sql-injection

【解决方案1】：

攻击者试图注入一个包裹在 MySQL’s variant of C style comments 中的 UNION SELECT，它允许有条件地排除内容。

在这种情况下，如果 MySQL 版本大于或等于 3.0.0，则评论不会被视为评论。在这种情况下，与'1025480056' 等效的strings in hexadecimal notation（即0x31303235343830303536）的UNION SELECT 将附加到现有语句中。通过注入行尾注释-- ，将忽略同一行中的任何剩余代码。

【讨论】：