sql注入 字符型注入和数字型注入

已于 2024-01-28 15:55:11 修改
阅读量364 收藏 8
点赞数 9
文章标签: sql 数据库
于 2024-01-28 15:53:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77451464/article/details/135896277
版权

当输入id=1和id=1 or 1=1时的界面不同的话,那么大概率就是发生了sql注入,那么就看是字符型注入还是数字型注入了

字符型注入

kebe‘ or 1=1# 中,#相当于把后面的一个单引号个给注释掉

kebe‘ or 1=1-- 1中,--后面的空格不能省略,空格后面的1可以用任意一个字符代替

kebe‘ or ’1‘=’1中,就是单引号都匹配掉,这样就不会有语法错误

eg:

数字型注入

Fly_hao.belief
关注
  • 9
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PIKACHU靶场 ——字符数字型SQL注入练习
PICACHU+++的博客
04-03 801
进入靶场可以看见一个输入框,所以现在里面判断注入点类,在输入框中输入了1'后,报错,并且显示到URL中,判断参数提交方式为GET传参在URL栏中输入了一下语句,判断为字符SQL注入漏洞1' #报错1'and'1'='1 #未报错1'and'1'='2 #未报错综上为字符SQL注入漏洞。
SQL注入~数字型注入&字符注入
2401_82887816的博客
04-26 989
看/后面的字符,数字这些。
sql注入字符数字型
qq_75005708的博客
04-08 2315
id=1%' and 1=1--+/#和?id=1%' and 1=2--+/#进行测试如果1=1页面显示正常和原页面一样,并且1=2页面报错或者页面部分数据显示不正常,那么可以确定此处为。id=1' and 1=1--+/#和?id=1' and 1=2--+/#进行测试如果1=1页面显示正常和原页面一样,并且1=2页面报错或者页面部分数据显示不正常,那么可以确定此处为。id=1 and 1=2进行测试如果1=1页面显示正常和原页面一样,并且1=2页面报错或者页面部分数据显示不正常,那么可以确定此处为。
sql注入详解
热门推荐
good good study
05-05 19万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
理论篇8:SQL注入(字符注入数字型注入)
aiojay的博客
05-02 2821
SQL注入(字符注入数字型注入),Mysql中 int(3) 类的含义,判断MYSQL注入闭合方式:
SQL注入数字型注入 & 字符注入
07-12 2206
SQL-数字&字符
数字型字符SQL注入对比
m0_58231750的博客
03-15 784
通常SQL 注入漏洞分类:按照数据类数字型字符、搜索注入按照请求方式:GET注、POST注、HEADER注入按照注入点位置:列注入、表注入、order注入、limit注、group by注入……示例:数字型注入:id=1 +xx+ --+字符注入:uname=admin' +xx+ --+搜索注入:keyword=admin%' +xx+ --+数据库中区别数字型:id =x and 1=1。
sql注入_字符数字型判断
草木
01-12 7740
如何判断sql注入字符还是数字型? 在进行sql注入时,字段类分为字符或者数字型,意味着我们需要构造不同的sql语句。 假设存在sql注入的url是:http://192.168.0.1/id=1 数字型判定 1、and或者or 假设数据库的执行语句是:select * from table where id=$id 当查询id=1的页面时返回正常页面,此时执行的语句是:select * from table where id=1 假如在1后面加上 and 1=2 , $id的值就是1 and
如何判断是字符注入还是数字型注入
原味瓜子、的博客
09-28 8487
前言 通常sql 注入漏洞会被分为2种类 数值 字符 其实所有产生类都是数据库本身表产生的,在我们创建的时候会发现其后面总有个数据类限制,而不同的数据库有不同的数据类,不管我们怎么分常用的数据类总是以数值和字符来进行区分的。 如何区分 1)数字型 当输入的参数x为整的时候,通常sql语句是这样的 select * from users where id =x 这种类可以使用经典的and 1=1 and 1=2来判断 url地址中输入www.xxxx.com/ccc.php?i
sql注入讲解ppt.pptx
08-10
2. 字符 SQL 注入:使用字符串来注入 SQL 语句。 3. 时间延迟 SQL 注入:使用时间延迟来注入 SQL 语句。 4. 布尔盲注:使用布尔逻辑来注入 SQL 语句。 七、SQL 注入常用知识: 1. 注释符:#、--、+ 等符号。...
SQL注入思路详解
12-14
一、SQL注入可以分为三个步骤 1.识别Web应用与数据库交互的可能输入(识别潜在注入点) 2.SQL注入语句测试 3.根据服务器返回判定注入语句是否影响了SQL执行结果以判断是否存在SQL注入     2.识别Web应用与数据库...
SQL注入基础和进阶.pdf
12-26
SQL注入漏洞有两种类数字型字符数字型的判断方法是查看源代码,根据输出语句判断;字符的判断方法是假设法,假设是数字型,然后判断是否报错。 在字符注入下,攻击者可以拼接SQL攻击语句,例如,'1' ...
单引号字符注入(判断sql注入漏洞的类:1.数字型、2.字符 用and 1=1 和and 1=2来判断)
08-26
在本案例中,我们讨论的是单引号字符注入,这是针对处理字符串类SQL查询的注入方法。 首先,我们需要识别注入漏洞的类。通常有两种主要的SQL注入数字型字符数字型注入是当输入字段期望接收数字...
sql注入之新手入门示例详解
09-10
在本例中,我们还提到了两种类SQL注入字符数字型字符注入发生在输入被视为字符串时,而数字型注入则是在输入被视为数字时发生。判断注入有助于确定最有效的攻击策略。例如,数字型注入通常不涉及...
SQLAlchemy 连接池
youhebuke225的博客
06-17 214
调整这些参数可以帮助你更好地管理数据库连接,并减少因连接超时或服务器断开连接而导致的问题。记得根据你的应用程序的需求和数据库服务器的配置来合理设置这些参数。在 SQLAlchemy 中,确实可以通过配置连接池的参数来管理连接的超时和回收,从而确保连接在需要时能够被重新建立。SQLAlchemy 使用的是。作为其默认的连接池实现。为了配置这些参数,你可以在创建引擎时将它们传递给。
PostgreSQL源码分析——CREATE TYPE
让我思考一下
06-18 325
定义一个复合类某种程度上就是定义一张新的表,表的rowtype就是复合类。会看到创建一个复合类的同时会创建一个同名的表。这个表可以在pg_class系统表中查到,但是通过\d等却查不到,也不能想表中插入数据,因为它并不是真正意义上的表,只是用表实现复合类。这部分因为不是可优化语句,没有什么处理。这部分因为是Utility语句,没有什么处理的。创建复合类,我们分析一下其源码实现。
PostgreSQL源码分析——CREATE CAST
让我思考一下
06-18 303
语句自定义一个类转换,数据库肯定有个地方将这个转换的信息存起来,这个地方就是pg_cast系统表。pg_cast系统表存在数据类转换路径,包括内建和用户自定义的。函数的主要内容就是将用户自定义的类转换信息插入到pg_cast系统表中。下面我们主要分析一下其源码,看一下是如何实现的。我们首先分析一下其语法解析部分,这部分比较简单,核心是。如何使用以及用法请参考PostgreSQL文档中。后续会重点分析一下这个函数。—— 定义一个用户自定义的类转换。非常容易理解,下面我们重点分析一下。
PostgreSQL源码分析——视图查询重写
最新发布
让我思考一下
06-18 478
这里我们分析一下查询重写的过程,主要分析视图的查询重写的过程。
怎么区别字符sql注入和数值sql注入
09-06
所以,区分字符SQL注入和数值SQL注入的关键在于看输入参数的类及其对查询语句的影响。字符注入主要是通过在输入中插入单引号来破坏SQL语法,而数值注入则是通过对数值输入进行数学运算或逻辑运算来达到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值