1.参数闭合:
- 数字型大部分情况不用闭合。
- 字符型需要闭合的有:单/双引号、小/大括号、百分号、引号组合括号。
2.请求方法判断:
- 在network控制台一般可以看到,或者抓包查看。
- get、post、request、cookie、http头(只要涉及到数据库的地方都可能注入)等。
3.GET传参注释符:
get传参时要注意注释符的使用:
SQL注入注释符(#、-- 、/**/)使用条件及其他注释方式的探索
mysql sql注释符号_SQL注入注释符(#、-- 、/**/)使用条件及其他注释方式的探索
4.靶场Less-5:
其实从Less-5开始用到的是盲注,涉及到报错盲注,时间盲注,布尔盲注;若盲注正常则回显“you are in…”