本文章仅供参考学习使用,不做任何违法犯罪行为!!!
一.SQL注入的本质:把用户输入的数据当作代码执行
条件:
- 用户能够控制输入;
- 原本程序要执行的代码,拼接了用户输入的数据SQL注入出现的地方:用户一切可以输入的地方;数据库可能导入导出的地方;
动态网站:sp,jsp,aspx等极大可能存在sql注入漏洞;
静态网站像html与数据库没有太对的交互,不会存在sql注入漏洞
伪静态网站:看着是静态网站实际上是动态网站
- url传参;表单post;Cookie;user-agent;X-Forwarded-For
- 新闻/商品等查询处;yoghurt注册/登录处;修改用户资料时;找回密码处;搜索框.
二.sql注入的分类:
- 数据传输方式:
GET类型 POST类型 COOKIE类型
- 数据的类型:
数字型(更加严谨些) 字符型
- 注入的模式:
基于联合查询的注入模式
基于报错的注入模式
基于布尔的盲注
基于时间的盲注