小迪教程第八天——参数类型注入

最新推荐文章于 2024-01-23 18:48:43 发布
最新推荐文章于 2024-01-23 18:48:43 发布
阅读量288 收藏
点赞数
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32458499/article/details/78262488
版权

1、数字型

数字不需要注意符号,直接注入即可

$sql1="select * from user where id=$int";//定义数字注入sql语句

2、字符型

sql语句中组合时,字符需要符号扩起

$sql2="select * from user where username='$str'";// 定义字符串注入sql语句

注入过程:
这里写图片描述

3、搜索型

$sql3="select * from user where password like '%$search%' order by password";//定义搜索注入sql语句

这里写图片描述

这里写图片描述

仲夏199603
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
小迪安全笔记,详细版本
01-23
小迪安全笔记,详细版本,巨细无比
小迪安全】完整详细笔记01-39天
热门推荐
m0_74169008的博客
06-07 2万+
凡是存在文件上传的地方均有可能存在文件上传漏洞,有文件上传就可以测试漏洞;指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。文件上传漏洞的时候看对方的代码是否写的比较完整、安全,疏忽了验证就会造成文件上传漏洞;有文件上传的功能就可以去测试;
小迪安全学习笔记8~10天
qq_62023614的博客
08-03 607
在安全测试中,信息收集是非常重要的一个环节,此环节的信息将影响到后续的成功几率,掌握信息的多少将决定发现漏洞机会大小,换言之决定着是否能完成目标的测试任务。在安全测试中,若WEB无法取得进展或无WEB的情况下,我们需要借助APP或其他资产在进行信息收集,从而开展后续渗透,那么其中的信息收集尤为重要。
小迪安全2023第一天笔记
m0_62599213的博客
02-21 573
2023第一节课学习笔记
小迪安全学习笔记
m0_73148547的博客
03-10 1699
小迪安全课程的笔记
3第八次——小学生学习课件
11-23
3第八次——小学生学习课件
4第八次——小学生ppt学习课件
11-23
4第八次——小学生ppt学习课件
微信小程序项目实例——家居团购
06-04
微信小程序项目实例——家居团购微信小程序项目实例——家居团购微信小程序项目实例——家居团购微信小程序项目实例——家居团购微信小程序项目实例——家居团购微信小程序项目实例——家居团购微信小程序项目实例...
ROS复习笔记之——参数的使用
01-06
修改博客《 ROS复习笔记之——创建和运行服务服务器与客户端节点》中的service_server.cpp,让通过服务请求输入的a和b不光进行加法运算,还会利用参数让a和b进行四则运算。修改代码如下所示 #include ros/ros.h //...
典型题解——第8章 相量法-教程与笔记习题
05-19
典型题解——第8章 相量法
小迪学习笔记 信息收集篇
qq_63484934的博客
12-23 840
2.分析HTTP响应头:通过分析网站的HTTP响应头,可以获取一些关于网站所使用的CMS系统的信息。例如,WordPress网站的HTTP响应头中通常会包含"X-Powered-By: PHP/WordPress"等标识。1.查看网战源代码:通过查看网站的源代码,可以找到一些特定的标识或文件路径,从而推断出网站所使用的CMS系统。3带wAE的CDN:用户访问域名->CDN节点(WAE)->真实服务器IP->访问目标主机。CMs识别,端口扫描,CDN绕过,源码获取,子域名查询,WAF识别,负载均衡识别等。
小迪php开发3.0笔记
最新发布
2303_79592445的博客
01-23 386
当输入js 留言后,它会存储在数据库之中,所以每次刷新网站,它都会去执行这个内容,而前面那个是临时的。%$s%表示的是$s前面和后面的通配符是任意的,就可以通过关键词来寻找特定的内容。如果是php代码写的可以通过x forwoad ,可以伪造ip127.0.0.1。re可以获取来源地址,如果直接去访问如上的网站,它只会为空,因为没有来源。此时通过提交js的弹窗代码,它会执行这个语句。可以通过查找数据库的原始语句看看是怎么写的。就可以执行js 语句(这就相当于小留言框)第一(可以看浏览器配置)
小迪WEB
weixin_52125240的博客
09-26 2万+
WEB-学习小迪安全第01天:基础入门—概念名词域名 小迪安全 第01天:基础入门—概念名词 域名 1)什么是域名? 域名,是由一串用点分割的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时计算机的电子方位; 例如:www.bilibili.com 2)域名在哪里注册? 在第三方平台上注册,国内的一些域名注册商,比如阿里云旗下的万网。 3)什么是二级域名多级域名? 二级域名:顶级域名之下的域名。 例如: www.baidu.com为主域,则图中news.baidu.com为二级域
小迪安全系列笔记---02数据包详解(HTTP和HTTPS的详解)
weixin_51143604的博客
05-07 1227
XDSec—02数据包详解 B站小迪安全系列视频的笔记整理 一、HTTP协议 1.1、概述 名称:超文本传输协议,(HyperText Transfer Protocol),是应用最广泛的一种互联网协议 作用:是一个基于TCP/IP协议栈的用来传输数据的协议;一般用于B/S架构:客户端通过htpp请求发送给服务器,服务器一般监听80端口,之后发出http响应,传输的数据类型有html文件、图片、等等 特点:支持C/S模式,是一种请求/响应式的协议,时无状态的协议,服务端不保留与客服交易是的任何状态;是
小迪安全学习笔记4~5天
qq_62023614的博客
08-01 377
WEB源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞,也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析。比如:获取某ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路。除去前期讲到过的搭建平台中间件。网站源码外,容易受到攻击的还有操作系统,数据库,第三方软件平台等,其中此类攻击也能直接影响到WEB或服务器的安全,导致网站或服务器权限的获取。
内网安全“小迪安全课堂笔记”域横向
weixin_42902126的博客
05-09 3794
内网安全内网安全-域环境&工作组&局域网探针方案基本认知域环境与工作组的区别环境靶机案例 1-基本信息收集操作演示案例 2-网络信息收集操作演示案例 3-用户信息收集操作演示案例 4-凭据信息收集操作演示计算机用户 HASH,明文获取-mimikatz(win),mimipenguin(linux)计算机各种协议服务口令获取-LaZagne(all),XenArmor(win)案例 5-探针主机域控架构服务操作演示涉及资源域横向批量at&schtasks&impacket 内
小迪安全学习笔记第二天
m0_62599213的博客
02-23 251
2023第二天学习笔记
小迪教程第八天——注入工具sqlmap的使用
仲夏
10-17 670
1、安装过程1)安装python2.72)在python2.7的目录中解压sqlmap 3)在桌面建立快捷方式 2、使用方法1)get类型注入Sqlmap.py -u 注入地址 检测指定站点注入情况,默认会以get类型注入检测 2)post类型注入3)cookie类型注入Sqlmap.py -u 注入地址 –cookie “参数” –level 2 以cookie注入提交检测网站
小迪安全学习笔记1~3天
qq_62023614的博客
07-31 544
域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过网域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。
C语言结构体与共用体教程——理解复杂数据表示
"C语言教程第8章结构体ppt课件.ppt" 本节课程主要讲解了C语言中的一个重要概念——结构体(Struct),以及相关的共用体(Union)知识。结构体是C语言中用于组合多种数据类型的一种复合数据类型,它允许我们将不同...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值