随笔分类 - web安全 / SQL注入详解
摘要:SQL注入分类 SQL注入按照类型分为数字型注入和字符型注入。注入点的数据类型为数字型时为数字型注入,注入点的数据类型为字符型为字符型注入。 SQL注入按照服务器返回信息是否显示分为报错注入和盲注。如果在注入的过程中,程序将获取的信息或者报错信息直接显示在页面中,这样的注入为报错注入;如果在注入的过
阅读全文
摘要:### 一、mysql常用函数与参数 | 函数或者参数 | 用法 | | | | | version() | 数据库版本 | | user() | 数据库用户名 | | database() | 数据库名 | | @@datadir | 数据库路径 | | @@version_compile_os
阅读全文
摘要:### SQL注入绕过 **1. 大小写绕过** SQL语句对大小写不敏感、开发人员做的黑名单过滤过于简单。 **2. 双写绕过** 双学绕过的原理是后台利用正则匹配到敏感词将其替换为空。例如:selselectect -> select **3. 空格过滤** 如果遇到空格被过滤了,主要的几个思路
阅读全文
摘要:### 一、sql注入类型 sql注入方式根据应用程序处理数据库返回内容的不同,可以分为可显注入、报错注入和盲注。 **1. 可显注入** 攻击者可以直接在当前界面内容中获取想要获得的内容。 **2. 报错注入** 数据库查询返回结果并没有在页面中显示,但是应用程序将数据库报错信息打印到了页面中,所
阅读全文
