在本系列课程学习中,SQL注入漏洞是将是重点部分,其中SQL注入又非常复杂,区分各种数据库类型,提交方法,数据类型等注入,我们需要按部就班的学习,才能学会相关SQL注入的核心。同样此类漏洞是WEB安全中严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。
SQL注入安全测试中危害
分为两类:危害数据库里的数据、直接危害到网站的权限(需要满足条件)
SQL注入产生原理详细分析
见案例
SQL语句在定义的时候没有变量,就不能进行SQL注入
可控变量,带入数据库查询,变量为存在过滤或过滤不严谨
可能存在注入的编号选项有哪几个?
www.xiaodi8.com/index.php?id=8
www.xiaodi8.com/?id=10
www.xiaodi8.com/?id=10&x=1
www.xiaodi8.com/index.php(post注入)
参数有x注入,一下哪个注入测试正确? b、c
a.www.xiaodi8.com/new/php?y=1 and 1=1&x=2
b.www.xiaodi8.com/new/php?y=1&x=2 and 1=1
c.www.xiaodi8.com/new/php?y