摘要:
自动把引号转义 1.防御sql注入的基本原则 任何时候不应该改变用户的输入 比如用户输入单引号,那输出也要是单引号。 几种基本的防御方法 1.过滤 ——字符型 mysql_real_esc 使用转义\ addslashes() 只收字符型的参数。 mysql_real_escape_string 只 阅读全文
2016年8月16日
摘要:
条件: 当一个页面,存在注入,没显示位,没有数据库出错信息,只能通过页面返回正常不正常进行判断进行sql注入。 了解的函数 exists() 用于检查 子查询是否有返回数据。 结果是 ture或者false ascii() 把字符转化成ascii码 substr() substr(string st 阅读全文
摘要:
前提: echo mysql_error(),输出错误信息。 熟悉的函数: floor()向下取整 concat()返回的字符串参数连接的结果 count()函数返回匹配指定条件的行数 rand()函数是产生随机数(0或者1)的一个随机函数 group by 函数的在mysql中的用法: http: 阅读全文