SQL注入绕过手法

SQL注入绕过手法

概述

用preg_match()函数来匹配一些危险字符
在这里插入图片描述
在这里插入图片描述
注意://模式分隔符后的"i"标记这是一个大小写不敏感的搜索

常见绕过手法

大小写绕过 ——》例如OR 、 AND
双写绕过——》例如ununionion
在这里插入图片描述

内联注释绕过——》例如/* !and */
在这里插入图片描述

绕过空格过滤——》 %0a、()、/**/
在这里插入图片描述

过滤一些引号,把我输入的引号用\进行转义。可以使用宽字节绕过,但是宽字节注入仅适用于GBK编码Demo:?id=1%df’ 这个时候加上\(编码为%5c)就变成id=1%df%5c’ %df%5c会组成一个繁体字,单引号成功逃逸!(因为原来的%5c要把单引号转义,在前面又加上了一个%df,%df%5c就会组成一个繁体字)

过滤等号<>(用不等号代替等号)

substr(string1,int,int)=substr(string from 数字 for 数字)
如果它把逗号过滤,我又要用逗号,不妨用substr()第二种形式(都没有逗号)

绕不过去,尝试换一种注入方法,有很多骚姿势哦~
其他绕过手法都要自己去积累!!!有些绕过特别巧妙。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值