关于更详细的文档资料,请回看第一部分
《网络安全学习》第一部分-----初识OWASP
一、 mysql中的注释符号:
%23
在mysql中代表 # ,也就是注释符
--
也表示注释,如果在url中输入--+
,也表示的是--
。
在浏览器中,可以使用+
来代替空格。
二、SQL注入系列一:简单注入
实际案例
1.通过sql注入,绕过用户名和密码校验
数值型注入方式-------通过-1 or 1=1
原理: 例如我们后台有这样一个查询sql:
SELECT * from user_message WHERE id=
那么我们可以通过修改前端的值位:-1 or 1=1
来实现查询所有的数据,其中-1表示永远不可能存在的数据。