摘要：鲁迅曾经说过: 1.什么是SQL注入 SQL注入是一种通过操纵输入来修改后台SQL语句以达到利用代码进行攻击目的的技术 2.漏洞产生的前提条件 参数用户可控:前端传给后端的参数内容是可以被用户控制的 参数带入数据库查询:传入的参数拼接到SQL语句,且带入数据库查询 3.与SQL注入相关知识点 1.在 阅读全文

摘要：何为order by 注入 它是指可控制的位置在order by子句后，如下order参数可控：select * from goods order by $_GET['order'] order by是mysql中对查询数据进行排序的方法, 使用示例 select * from 表名 order b 阅读全文

摘要：谷歌搜索inurl:edu.cn asp .发现了某网站,在查询的数字后面加了个'就报错了,我心想他可能存在注入漏洞. 然后开始尝试 ?id=35 and 1=1#被拦截了 没想到将空格换成+就过了,设置的太不严密了 ?id=35+and+1=1+#显示信息 ?id=35+and+1=2+#没信息, 阅读全文

摘要：##产生注入漏洞条件 参数用户可控:前端传给后端的参数内容是可以被用户控制的 参数带入数据库查询:传入的参数拼接到SQL语句,且带入数据库查询 ##与SQL注入相关知识点 1.在MYSQL5.0版本后,系统会默认在数据库中存放一个informa_schema的数据库,该库中需要记住三个表名:sche 阅读全文