数据库
文章平均质量分 61
sanfendi
这个作者很懒,什么都没留下…
展开
-
数组作为查询的参数
数组作为sql查询的一个参数,这个时候可以考虑把数组分开并拼在一条sql语句中。public static void main(String[] args) { String sql="select * from user where 1=1";//目的是数组即使空也没关系 String[] str=new String[]{"xxx","yyy"}; sql+=" a原创 2014-02-27 20:31:29 · 2070 阅读 · 0 评论 -
SQL注入
通过成功地SQL注入,可能可以拿到目标数据库的全部信息!首先要找到目标网址,以进行漏洞测试。在google中搜索:inurl:news.php?id=2任意点入一个网址:在网址后追加SQL语句,如果报错,则OK,可注入,如果未报错,无可注入漏洞或未找到。 比如,找到一个网址:http://www.calidus.ro/en/news.php?id=2将此链接变成如下,去访问原创 2015-03-24 18:30:07 · 1812 阅读 · 0 评论