sql注入
关注
分享
扫一扫
文章平均质量分 92
本专栏将带您剖析SQL注入的本质
还是奇怪
在成为光的路上,总要穿越黑暗的隧道,但请相信,每一步都让你我离璀璨的星辰更近
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
SQL注入的“无影脚”:详解空格绕过WAF的N种方法
本篇文章详细讲解了在SQL注入攻击中,当空格字符被WAF(Web应用防火墙)过滤时,攻击者如何利用注释符、括号、特殊编码、数学运算符等多种技巧替代空格,绕过防御并成功执行恶意SQL语句,同时提供了实战案例和相应的防御建议原创 2025-10-01 17:37:23 · 935 阅读 · 0 评论 -
穿透防线:SQL注入中AND/OR过滤的花式绕过技巧
本篇文章详细介绍了在SQL注入攻击中,当AND和OR被过滤时,攻击者使用的多种绕过技巧(如大小写变换、双写、符号替代、注释混淆等),并最终强调参数化查询(预编译语句)是唯一真正有效的防御手段原创 2025-09-26 13:51:43 · 1010 阅读 · 0 评论 -
SQL 注入攻防:绕过注释符过滤的N种方法
本篇文章全面解析了SQL注入中注释符的作用、常见过滤方式、多种绕过技巧,并最终指出根本的防御之道在于使用预编译语句(Prepared Statements)等结构化查询方式,而非依赖黑名单过滤原创 2025-09-21 15:39:52 · 1113 阅读 · 2 评论 -
Web安全:你所不知道的HTTP Referer注入攻击
本篇文章深入解析了HTTP Referer头的安全风险,重点介绍了Referer头注入攻击,尤其是SQL注入的实现方式。文章通过sqli-labs实战演示,说明攻击者如何通过篡改Referer头执行恶意SQL代码,并强调防御的核心在于永不信任客户端输入,需进行严格校验、过滤和使用白名单机制,避免依赖Referer头做安全决策原创 2025-09-04 17:22:08 · 1287 阅读 · 1 评论 -
Web安全:深入理解User-Agent报头注入与防御
本篇文章深入讲解了User-Agent报头注入的攻击原理、危害及利用方式,并强调了通过输入验证、输出编码和使用参数化查询等方法来有效防御此类漏洞原创 2025-08-28 16:19:15 · 1300 阅读 · 2 评论 -
不止于GET:掌握POST报错注入的精髓
POST报错注入是通过构造恶意SQL语句触发数据库错误回显,从而窃取敏感数据的技术,其成功依赖两个关键前提——存在SQL注入漏洞且数据库错误信息直接回显前端,防御核心是禁用错误回显并采用参数化查询原创 2025-08-13 16:31:36 · 847 阅读 · 0 评论 -
利用SQL文件上传注入植入WebShell
攻击者通过上传恶意构造的SQL文件触发目标系统的SQL注入漏洞,利用数据库文件写入功能(如MySQL的INTO OUTFILE)将WebShell植入服务器Web目录,从而完全控制目标系统原创 2025-07-30 17:32:51 · 845 阅读 · 0 评论 -
深入解析三大Web安全威胁:文件上传漏洞、SQL注入漏洞与WebShell
文件上传漏洞、SQL注入漏洞与WebShell形成闭环攻击链——前两者是WebShell的主要植入途径,而WebShell会进一步利用前两者扩大攻击面,防御关键在于切断三者的关联路径原创 2025-07-26 12:35:25 · 1146 阅读 · 0 评论 -
SQL 时间盲注:当数据库用“沉默”泄露你的秘密
时间盲注是一种极其隐蔽的SQL注入攻击,利用数据库响应时间的差异(通过条件语句触发延时函数如sleep())逐位窃取数据,即使目标网站关闭错误回显且无内容差异也能生效原创 2025-07-16 18:10:31 · 1164 阅读 · 0 评论 -
sql注入—布尔盲注
布尔盲注(Boolean-based Blind SQL Injection) 是一种特殊类型的SQL注入攻击技术。它用于在应用程序对数据库查询的响应中不直接返回查询结果、也不显示详细的数据库错误信息的情况下,攻击者仍然能够通过观察应用程序的布尔(真/假)响应状态差异来逐位提取数据库中的敏感信息原创 2025-06-02 17:18:15 · 681 阅读 · 0 评论 -
floor()报错注入
本章介绍了floor()报错注入,floor()报错注入是sql注入的一种,利用MySQL数据库的floor()、rand()、group by和聚合函数的特性,使key重复触发报错原创 2025-05-25 15:56:28 · 817 阅读 · 2 评论 -
extractValue()报错注入
本文主要介绍了 extractValue() 报错注入的相关知识,包括其与 updatexml() 报错注入的关联、报错注入的基本概念、思路、用到的函数以及具体示例。原创 2025-05-04 16:39:54 · 1073 阅读 · 0 评论 -
updatexml()报错注入
报错注入(Error-based SQL Injection)是一种通过故意触发数据库错误,并利用错误信息中泄露的敏感数据来实施攻击的SQL注入技术。其核心原理是利用数据库的异常处理机制,将攻击者需要的数据嵌入错误信息中返回。原创 2025-04-28 16:55:32 · 1505 阅读 · 0 评论 -
字符型注入
篇文章围绕 SQL 注入中的字符型注入展开,以 sqli - labs 4 为例详细介绍了字符型注入的流程原创 2025-04-19 17:37:17 · 603 阅读 · 0 评论 -
sql整型注入
本文围绕 SQL 整形注入展开,详细介绍了相关重要概念、判断方法及示例操作原创 2025-04-11 20:41:42 · 713 阅读 · 0 评论 -
sqli-labs注入时为何会404 - Page Not Found 未找到
本文主要介绍了在进行 SQL 注入时,如何查找注入点以及常见的错误情况。在进行 GET 注入时,要确保 URL 中的查询字符串格式正确,特别是不要遗漏 “?” 符号。如果遇到页面 404 错误,首先要检查命令是否有误。原创 2025-04-03 15:39:28 · 467 阅读 · 0 评论