sql injection,我们称之为 sql 注入。何为 sql,英文:Structured Query Language,
叫做结构化查询语言。常见的结构化数据库有 MySQL,MS SQL ,Oracle 以及 Postgresql。Sql
语言就是我们在管理数据库时用到的一种。在我们的应用系统使用 sql 语句进行管理应用数
据库时,往往采用拼接的方式形成一条完整的数据库语言,而危险的是,在拼接 sql 语句的
时候,我们可以改变 sql 语句。从而让数据执行我们想要执行的语句,这就是我们常说的 sql
注入。
SQLi-Labs是一个专业的SQL注入练习平台,适用于GET和POST场景,包含了以下注入:
1、基于错误的注入(Union Select)
字符串
整数
2、基于误差的注入(双查询注入)
3、盲注入(01、基于Boolian数据类型注入, 02、基于时间注入)
4、更新查询注入(update )
5、插入查询注入(insert )
6、Header头部注入(01、基于Referer注入, 02、基于UserAgent注入,03、基于cookie注入)
7、二阶注入,也可叫二次注入
8、绕过WAF
绕过黑名单\过滤器\剥离\注释剥离 OR&AND 剥离空格和注释剥离 UNION和SELECT
隐瞒不匹配
9、绕过addslashes()函数