飘渺红尘

摘要： 昨天测试sql注入，发现个站，存在ids，一个单引号直接拦截，无论我怎么编码都不行，怕不是废了。。 灵机一动 基础探测 /*'*/ 报错 /*''*/ 返回正常 是字符串类型。 先本地测试 返回所有 返回当前 那么: 还是少用or,一个or网站直接废了。 通过报错信息发现是oracle构造paylo 阅读全文