sql注入过程中字符的过滤
1、过滤注释符过滤
常用的注释符号: --+ # %23
找到闭合方式,语句后对给一个闭合符,和源语句形成闭合。
2、and 和 or 的绕过:
大小写绕过:anD
复写绕过:anandd
符号代替:&& ||
3、空格过滤绕过
用+号替代空格
用%20替换空格
用%A0、%09、%0C 、%0D 、%0B、%0A 替换
4、逗号的过滤
用join绕过,union select 1,2,3 等价于 union select * from (select 1)a join (select 2)b join (select 3)c
5、' '' 等符号的绕过:
在符号前加一个%df
过滤的实现手段:用addslashes()函数在字符前加上一个 , 让符号失效。
实现原理:%df 加 \ 的GBK编码值%5c 组成一个汉字编码,让 \ 失效
本文作者:ugnfc
本文链接:https://www.cnblogs.com/ugnfc/p/18157435
版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议进行许可。
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步