一、预备知识
1. SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
2. 根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致地过滤,从而执行了非法的数据查询。
二、实验目的
学会双引号报错注入的SQL注入。
三、实验工具
浏览器
四、实验步骤
第一步:访问
http://www.any.com/sqli/Less-4/?id=1 #页面正常
第二步:加入双引号,访问
http://www.any.com/sqli/Less-4/?id=1" #会报错