sql注入笔记(一)
sql注入笔记(一)
自己写写笔记,有错的地方望大佬指点
小技巧:
简单绕过 , ’ 字符的过滤
传入字符串时 需要有一个’’ 表示字符串 ,假如被过滤了,那么就是可以使用十六进制(对应sqlmap 中的–hcx)来表示这个值 或者ascii码的形式,从而实现想要判断的值。
e.g.
select * from user where substr(username,1,1) = 97
上述语句中 假如,被过滤了 ,则可写成 substr(str from pos for len) 的形式.
原创
2020-06-25 22:54:11 ·
171 阅读 ·
0 评论