insert/update注入
实验环境:
皮卡丘靶场—insert/update注入
原理:
-
insert注入(注册新用户):
后端没有做防SQL注入处理,在前端注册的信息,通过insert直接拼接到数据库中;
insert into member(username, pw, sex, phonenum, email, address) value (‘xiaohong’, 1111, 1, 2, 3, 4)
insert语句一般通过or进行闭合:
insert into member(username, pw, sex, phonenum, email, address) value (‘1’ or updatexml(1, concat(0x7e, database()),0) or '’, 1111, 1, 2, 3, 4)
-
update注入(用户更新信息)
实验步骤:
-
insert注入(用户注册):
(1). 注册信息,在用户栏输入危险字符’