- 博客(3)
- 收藏
- 关注
原创 SQL注入原理及实践(一)–SQL注入之布尔型盲注入
当不知道数据库返回值的情况下时【无回显】,输入1’and‘1’='1和1’and‘1’='2显示不一样,仅返回正确、或者错误的页面时,存在布尔型盲注入。①if()if(条件,结果1,结果2)如果条件成立,则输出结果1,否则输出结果2。if(SUBSTRING(参数1,参数2,参数3),结果1.结果2)②字符串截取函数SUBSTRING(参数1,参数2,参数3)当假设长度为4时,返回正确的界面,因此数据库名为4位字符串。1’and‘1’='1为真返回正确的界面。.....................
2022-08-02 00:15:18
2138
1
原创 SQL注入原理及实践(一)--SQL注入之联合查询
SQL注入原理及实践(一)–SQL注入之联合查询1)判断注入类型一般采用【1and1=2】去判断,当输入【1and1=2】时,如果报错,则为数字型注入,如果显示正常,则为字符型注入原理如下:假设数据库执行命令为:select * from table_name where id=$id$id为用户所控,当输入【1and1=2】时如果该注入为数字型,则将会显示如下:select * from table_name where id=1and1=2该语句中,id=1为真;1=2为假;an
2022-06-23 00:13:40
1293
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人