SQL注入绕过手段
当存在Buf机制时,正常的注入手段无法实现
1.大小写绕过
如果程序中设置了过滤关键字,但是过滤过程中并没有对关键字进行深入分析过滤,导致只是对整体进行过滤。例如:and过滤。当然这种过滤只是发现关键字出现,并不会对关键字处理。
通过修改关键字内字母大小写来绕过过滤措施。
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/a6cf0b3421930b342276cee5fef5e9b3.png)
2.双写绕过
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/96eb71b6981ff71acc9337d8dbfdf4ea.png)
只要发现union就让它变为空
ununionion中间的union变为空后==》重新转变为union,可同时结合大小写绕过的方式
3.编码绕过
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/c45aa02d2e3aa93b9694d444cba2ef5d.png)
到达web服务器时,会自动完成解码
4.内联注释绕过
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/2f2bb2cdf5424221aaf7b776207a93e4.png)
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/c36642466ac9dcdf8014deb9f72e11e1.png)
内联注释中的内容虽然不会被web识别出来,但是可以在sql语句中直接执行。