摘要:
SQL预编译中order by后为什么不能参数化原因 一、背景 防sql注入都用参数化的方法,但是有些地方是不能参数化的。比如order by后就不能参数化,她有个同事挖sql注入时找有排序功能需求的位置(比如博客常按时间排序),基本十之六七都能挖到sql注入。 二、不能参数化的根本原因 2.1 以 阅读全文
posted @ 2020-10-03 13:29
komomon
阅读(968)
评论(1)
推荐(0)
摘要:
文章目录 权限问题 --file-read --file-write和--file-dest --os-shell 总结 权限问题 首先确保注入点的数据库连接用户有FILE权限 使用 --privileges查看 但是 就算有此权限也还有很多问题 SELINUX 因为我的服务器使用的并不是Apach 阅读全文
posted @ 2020-10-03 11:44
komomon
阅读(723)
评论(0)
推荐(0)
浙公网安备 33010602011771号