渗透测试---SQL注入~SQL注入-数字、字符串、联合查询

SQL注入前要判断是哪种数据库。

MySQL或者sql sever等数据库都有自己的内置数据库。

网页：

静态网页(html/htm)

动态网页(asp/aspx/php/jsp)

SQL注入危害：

1.窃取数据库敏感信息

2.对数据进行恶意的增删改

3.造成拒绝服务

4.文件系统操作：列目录，读取、写入文件(一句话木马)等。

5.获取服务器权限(执行系统命令)

数据库的注释语法

SQL注入分类：

数字型---不需要考虑单引号或双引号闭合
字符型---需要考虑单引号闭合和注释问题
回显注入---回显正常/回显报错
盲注---布尔型盲注/基于时间的盲注