环境准备
环境搭建推荐使用docker容器部署,分分钟搞定!
低
- 正常提交1
- 判断注入类型,先and1=1# and 1=2#,结果一样;1’ and 1=1# 1’ 1=2#,返回异常,故为字符型。
- 猜测是2个字段 ,3的时候返回异常。
- 查询数据库名字,如下图
- 获取表名
- 获取列名
- 获得字段中的数据
中
- 判断注入点,以及注入的类型,下图可以看到,存在注入,注入类型是数字型注入
- 猜解sql查询语句中的字段的个数,下图说明字段的个数为2
- 获取当前数据库的名称以及版本
- 然后获取数据库的表、字段,最终获取数据
高
- 判断sql是否存在存入,以及注入的类型
- 根据之前的方法,获取数据库中的数据