sql注入漏洞

2021-08-17 约 188 字预计阅读 1 分钟

次阅读

文章目录

举个例子

1
2
3
4


select * from test where name = 'test' and '1' = '1'

# 程序的输入参数是  : test' and '1' = '1 
# 技巧总结：  test' and '1' = '1'  --action=search

SQL 注入的不同类型

时间盲注的用法

通过注入特定语句，根据对页面请求的物理反馈，来判断是否注入成功，如：在SQL语句中使用 sleep 函数看加载网页的时间来判断注入点。适用场景：通常是无法从显示页面上获取执行结果，甚至连注入语句是否执行都无从得知。

例如

1
2
3


select * from user where id = '?'

select * from user  where id = '4' and sleep(3) -- "

文章作者 LYR

上次更新 2021-08-17

赞赏支持

微信打赏

支付宝打赏

T