SQL手工注入——数字型注入

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/smugaoyi/article/details/51800719

当输入的参数是整数时,若存在漏洞,则认为是数字型注入,如xxx.php?id=88形式。

这是最简单的一种注入。

测试过程一般如下:

1、对url:xxx.php?id=88后添加',形成xxx.php?id=88',观察页面是否出现异常。若系统没有做防护,则出现异常。

2、对url:xxx.php?id=88后添加and 1=1,能够正常执行,返回结果与原始请求无任何差异。

3、对url:xxx.php?id=88后添加and 1=2,语句正常执行,但返回结果与原始请求有差异。

若同时满足上述情况,则系统可能存在SQL注入漏洞。




展开阅读全文

没有更多推荐了,返回首页