漏洞知识库
文章平均质量分 59
菲曼巴
这个作者很懒,什么都没留下…
展开
-
sql注入-字符型报错注入
试报错看回显暴字段order by 3union select 1,2,3暴库1,2,database()暴表group_concat(table_name) from information_schema.tables where table_schema =database()或group_concat(table_name) from information_schema.tables where table_schema=‘security’ --+暴列group_conca原创 2021-11-24 10:32:07 · 3285 阅读 · 0 评论 -
Web常见漏洞及修复建议
目录 1.SQL注入漏洞描述Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。修复建议代码层最佳防御sql漏洞方案:使用预编译sql语句查询和绑定变量。(1)使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中。所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到S原创 2021-11-24 10:28:30 · 1373 阅读 · 0 评论