摘要：在练习sqlilabs的44关时发现一个小问题，就是盲注时明明使用了sleep函数而且确定成功注入了，但页面却没有任何延迟： 经过检索发现，原来mysql_multi_query函数有一个特性：在第一个语句执行完毕后就马上返回结果，随后才执行后续的语句： 这也就解释了为什么即使成功注入了页面也依然没 阅读全文

摘要：很多人玩到29关发现根本没有WAF，其实是有的，在第29关的目录下可以找到一个login.php文件，这才是这关的真正页面。 这关不看源码很难攻破，所以先来分析源码，查看源码会发现里面有两个奇怪的函数，whitelist函数判断id参数的值是不是纯数字，如果不是则导向失败黑入页面，而javaimpl 阅读全文