14 web漏洞,SQL注入之类型及提交注入
在真实 SQL 注入安全测试中,我们一定要先明确提交数据及提交方法后再进行注入,其中提交数据类型和提交方法可以通过抓包分析获取, 后续安全测试中我们也必须满足同等的操作才能进行注入。
简要明确参数类型
数字,字符,搜索性,json等
数字型参数
字符型参数
如果字符型参数未加单引号,则会报错
字符型参数注入需要将单引号闭合
如:
select * from users where name = 'xihua and 1=1'
select * from users where name = 'xihua' and 1=1#'
加上单引号进行闭合,并且注释后面的单引号
搜索型参数
将数据进行搜索并进行展示
语句可能为
<