SQL注入类型判断

已于 2023-09-14 15:47:16 修改
阅读量1k 收藏 7
点赞数 3
分类专栏: 网安面试宝典 网络安全 文章标签: sql 数据库 SQL注入类型评定 SQL注入
于 2023-09-14 10:56:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56578216/article/details/132871753
版权

SQL注入的类型分为字符型和数字型,以sqli-labs靶场1、2关为例:

文章目录

第一关

在这里插入图片描述

第一关注入一个1’,错误回显出下面内容,其中1’是注入的内容,0,1后面的单引号和最前面的单引号是一对,剩下的两个单引号是一对,错误回显出上面内容说明是字符型注入。

''1'' LIMIT 0,1'

第二关

第二关注入一个1’,错误回显出下面内容,没有回显出注入的1’说明该注入类型是数字型:
在这里插入图片描述

无错误回显的判断

如果注入时没有错误信息回显,那么上面的方法就不能用了,这时候可以注入算式来判断,依然以一二关为例:

第一关

注入一个id=1正常回显:

在这里插入图片描述

注入一个id=2-1回显内容改变,说明这关的后端代码将2-1当做字符串处理,才改变了回显内容,

了解本专栏 订阅专栏 解锁全文 超级会员免费看
EMT00923
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
订阅专栏
SQL 注入总结(详细)
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-21 5420
这篇文章是最近学习 SQL 注入后的笔记,里面整理了 SQL 常见的注入方式,供大家学习了解 SQL 注入的原理及方法,也方便后续自己回顾,如有什么错误的地方欢迎指出!
最简单的方法:判断SQL注入是字符型还是数字型
jenchoi413的博客
06-23 5454
最简单的方法:判断SQL注入是字符型还是数字型
SQL注入常见类型及注入点的判断
最新发布
qq_64395221的博客
05-15 959
字符注入的时候我们需要逃逸单引号,但是php提供了魔术引号开关magic_quotes_gpc和addslashes(),iconv()函数作为防御,特点是自动给传入的参数如单引号,双引号,反斜杠,%00前面加一个反斜杠,进行转义,避免单引号进行逃逸。id=1这种形式的url,这个时候我们输入and 1=1与and 1=2,进行判定看是否会出现and 1=1回显正常,and 1=2回显不正常的情况。sql语句的变量并不是直接传入的变量,而是通过其它的方式保存到了数据库,形成二次注入。
sql注入: 判断注入点类型
dyn8150的博客
03-29 2985
注入点类型分类 数字型: select * from tabname where id = 1 字符型: select * from tabname where id = '1’ 搜索型: select * from tabname where id like '%1%' 判断类型流程 输入 1 假设存在查询结果,但是此时无法区分注入点类型 输入 1 and 1 = 1 对于数字型注入点: select * from tabname where id= 1 and 1 = 1,会有查询结果
sql注入(字符型和数字型)
qq_75005708的博客
04-08 2449
id=1%' and 1=1--+/#和?id=1%' and 1=2--+/#进行测试如果1=1页面显示正常和原页面一样,并且1=2页面报错或者页面部分数据显示不正常,那么可以确定此处为。id=1' and 1=1--+/#和?id=1' and 1=2--+/#进行测试如果1=1页面显示正常和原页面一样,并且1=2页面报错或者页面部分数据显示不正常,那么可以确定此处为。id=1 and 1=2进行测试如果1=1页面显示正常和原页面一样,并且1=2页面报错或者页面部分数据显示不正常,那么可以确定此处为。
SQL注入分类,一看你就明白了。SQL注入点_SQL注入类型_SQL注入有几种_SQL注入点分类
2201_75735270的博客
01-20 996
根据输入的 「参数」类型,可以将SQL注入分为两大类: 「数值型」注入、 「字符型」注入。
SQL注入类型(详细讲解)
diaobusi的博客
10-27 872
在进行SQL注入测试的时候,确实很重要要知道目标SQL语句是什么类型,因为不同类型SQL语句对注入的有效载荷(payload)有不同的语法要求。
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户...通过学习 SQL 注入基础知识、工具和环境搭建、MySQL 数据库基础知识、SQL 注入防御、SQL 注入类型和基本步骤,我们可以更好地理解和防御 SQL 注入攻击。
判断以及防止SQL注入
12-14
 通过SQL注入的原理我们知道,判断SQL注入可以通过页面传入的数据, 后台不应该相信从后台传入的任何数据 特别是特殊整型参数和特殊字符参数!  防止SQL注入其实也很简单:  1.检查变量数据类型和格式  只要...
SQL注入漏洞全接触.ppt
11-15
三、 SQL注入漏洞的类型 * 根据不同的数据库管理系统, SQL注入漏洞可以分为Access注入、SQL Server注入、MySQL注入等。 * 不同的数据库管理系统有不同的函数、注入方法,所以在注入之前,我们还要判断一下数据库的...
sql注入靶场.zip
06-24
它模拟了各种类型SQL注入漏洞,包括但不限于错误基线注入、时间基线注入、盲注、联合查询注入、堆叠查询注入等。每个挑战都设计有特定的注入点,需要利用这些点来获取敏感信息,例如数据库中的用户名、密码或其他...
SQL注入思路详解
12-14
一旦确认了SQL注入,攻击者会进一步确认注入方式,常见的SQL注入类型包括: 1. **联合查询注入(Union Query)**:通过`UNION`操作合并两个或更多查询的结果,直接展示数据库中的数据。 2. **报错注入(Error Based...
(学习笔记)SQL注入--基础篇
peanut5036的博客
02-16 1249
SQL注入自学笔记,适合小白,包括union注入,报错注入,与盲注
SQL注入类型 讲解及利用 (一)
热门推荐
lendq的Blog
05-07 1万+
简介: SQL注入漏洞产生的原因 SQL Injection 程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患 用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据或进行数据库操作 SQL语句 Structured Query Language 结构化的查询语言,是关系型数据库通讯的标准语言。 查询:SELECT st...
sql数值注入和字符注入
十五年游戏主程转渗透之路
03-27 2340
mysql,注入流程
SQL注入数据库判断
ma963852的博客
04-14 4020
01 网站类型数据库的联系 asp:SQLServer,Access .net :SQLServer php:Mysql,PostgreSql java:Oracle,Mysql 可以根据网站类型来大概确定后续测试数据库的优先级。 02 依据主机端口 如果可以对主机进行端口扫描,可以根据是否开启对应端口,来大概判断数据库类型。 Oracle 默认端口号:1521 SQL Server 默认端口号:1433 MySQL 默认端口号:3306 PostgreSql 默认端口号:54..
sql注入入门必看!一篇文章快速判断是字符型注入还是数字型注入
weixin_43919144的博客
04-16 4694
字符型注入和数字型注入和的区别 我个人的理解是这两者的区别在于你所查询的数据类型不同,数据类型不同会导致你需要构造的注入的语句不同。 数字型注入 如果是数字型注入我们可以通过简单的逻辑等式判断,构造语句?id=1 and 1=1 和 ?id=1 and 1=2 。 这样构造的话我们来看看后台实际上SQL语句是怎么样的: select * from table_name where id=1 and...
Sql注入类型小结
fBud的博客
05-24 6667
Sql注入类型1.前言Sql注入形成的原因:用户输入的非法数据被解释器执行 2.注入类型2.1注入点的不同(1)数字类型的注入当输入参数为数字类型时,例如页码,ID等,存在注入时则为数字类型的注入。测试方法如下:http://www.xx.com/a.php?id=1http://www.xx.com/a.php?id=1’                     返回异常http://www.x...
sql 判断注入类型
07-25
回答: 判断SQL注入类型的方法有多种。一种常见的方法是通过输入特定的字符或语句来测试是否存在注入漏洞。例如,当输入"and 1=2"时,如果后台执行的SQL语句中包含了这个条件,并且返回了错误信息,那么就可以判断...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

EMT00923

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值