摘要：一、SQL注入原理： SQL注入就是用户输入的SQL语句到参数中，最终达到欺骗服务器执行恶意的SQL命令。 执行SQL注入的语句： 字符型需要闭合掉单引号，两者都是通过--注释掉后面的代码，执行and 1=1 语句，可以配合用and 1=2 来验证语句是否执行。 二、Sqli-labs下载 Sqli 阅读全文

摘要：MySql数据库学习笔记： 注意:所有的数据库名，表名，表字段都是区分大小写的。所以你在使用SQL命令时需要输入正确的变量名称。 SQL语句中的单行注释使用 -- 多行注释采用 /*…*/ 1.创建数据库： create database 数据库名； 2.删除数据库： drop database 数 阅读全文

摘要：不多说，直接上代码： 阅读全文

摘要：火狐FoxyProxy：很好用的代理工具，方便调节浏览器的代理设置（谷歌Proxy SwitchySharp） hackbar：很好用的工具，提供了SQL注入和XSS攻击，能够快速对字符串进行各种编码。 Burp Suite: web综合性工具。 Save Page WE（Save Page PDF 阅读全文

摘要：一、命令执行，UDF（User-Defined Functions） MySQL中，除了可以通过webshell间接执行命令外还可以通过UDF来执行命令。此功能已经集成到Sqlmap中了。 通过lib_mysqludf_sys提供的几个函数来执行系统命令，其中的两个重要的函数：sys_eval()和 阅读全文