这句sql是做什么的

justintung 发布于 2014/07/31 13:36
阅读 439
收藏 1

今天在sql慢日志中发现下面sql查询

UPDATE `table1` SET `count`=count+1 WHERE ( id=(select(0)from(select(sleep(17.201999999999998)))v)/*'+(select(0)from(select(sleep(17.201999999999998)))v)+'"+(select(0)from(select(sleep(17.201999999999998)))v)+"*/ );


UPDATE `table1` SET `count`=count+1 WHERE ( id=if(now()=sysdate(),sleep(17.201999999999998),0)/*'XOR(if(now()=sysdate(),sleep(17.201999999999998),0))OR'"XOR(if(now()=sysdate(),sleep(17.201999999999998),0))OR"*/ );



它是做什么用的?注入吗?

加载中
0
purely
purely
导致查询sleep,占用sql链接。多了就挂了。
0
南湖船老大
南湖船老大
利用sleep拖慢你的数据库,这招很常见,也很龌龊
南湖船老大
南湖船老大
回复 @leo108 : 在达不到脱裤的目的时,拖慢数据库也是危害很大的
leo108
leo108
这个叫延迟注入,盲注的一种,目的是脱裤而不仅仅是让你数据库变慢
0
sxgkwei
sxgkwei
貌似系统代码不严谨啊,这是被SQL注入了的现象吧?这些sql代码,在一般应用系统中,看不出有什么用。
0
首席安全砖家
首席安全砖家
sql盲注判断而已, 判断是否存在sql注入的盲注方法之一.  
返回顶部
顶部