注入攻击的解决思路
摘要:1、严格的数据类型 http://192.168.1.100/delete?userid=userid 检查userid必须是int类型,避免清库 delete from user where userid=userid2、特殊字符的处理 账号中不能有# \ ?等特殊字符,注:单引号在英语中是有效的
阅读全文
posted @
2021-07-24 01:16
Andy Niu
阅读(133)
推荐(0) 编辑
二次注入攻击
摘要:1、一般的系统都默认有admin账号,如果我能获取到admin的密码就可以,登录后搞破坏。2、第一步:新建一个账号 admin'#123,就会在数据库增加一条记录 特别说明,账号中包含引号在英语中是有效的,比如:NBA的 Shaq O'neal3、第二部:使用admin'#123账号登录,并修改密码
阅读全文
posted @
2021-07-21 21:53
Andy Niu
阅读(93)
推荐(0) 编辑
宽字节注入
摘要:1、SQL注入的典型特征是:改变原始SQL的语义,绕过正常的代码检查逻辑。2、宽字节注入是利用:多字节结合表示一个字符,改变SQL语义 比如GBK,补充说明,GBK是国标扩展,GB分为三类: GB:强制标准 GBT:推荐规则 GBZ:指导规则 GB-2312-80是GB顺序2312,1980年制定的
阅读全文
posted @
2021-07-20 21:53
Andy Niu
阅读(450)
推荐(0) 编辑