sql注入

web
发布时间 :
  1. sql注入定义
  2. sql注入分类
    1. 如何判断是字符型注入还是数字型注入
  3. 注入点
  4. 闭合方式
    1. 如何判断闭合方式
    2. 闭合的作用
  5. union联合注入

sql注入定义

通过把SQL命令插入到WEB表单提交或输入域名或页面请求的查询字符串,最终到达欺骗服务器执行恶意的SQL命令,从而进一步得到相应的数据信息。

sql注入分类

数字型、字符型

如何判断是字符型注入还是数字型注入

使用and 1=1 和 and 1=2来判断,如果是数字型,and 1=2会报错,两者都能正常显示,即为字符型注入(此时and在引号中被闭合了,无法发挥正常的功能)

Union注入,报错注入,布尔注入,时间注入

注入点

可以实行注入的地方,通常是一个访问数据库的连接。

闭合方式

‘ ‘’ ‘) ‘’)

如何判断闭合方式

例如输入?id=1’’’报错为near 1’’’’多一个’,说明闭合符号为’

闭合的作用

手工提交闭合符号,结束前一段查询语句,后面可以加入其他语句,查询需要的参数,不需要的语句可以用注释符号’–+’或’#’或’%23’注释掉

union联合注入

©2024 f4k3r

Built with Hexo and 3-hexo theme