参数注入

数字型注入， 字符型注入， 搜索型注入

数字型注入：找到id=10这种有数字参数的

字符型注入：用单引号把参数括起来然后当作字符，URL处的方式是将id后的参数闭合变成字符后去查询，注入方式是将id后的参数加“  ‘  ”后便可以闭合前方参数，然后将自己的语句输入后需要加上#来注释掉后方的语句

搜索型注入：like 像  通配符  *    SQL通配符%%    '%%'and 1=1 and '%'='%'   这是搜索型注入所常用的语句  需要先闭合通配符的参数

2%‘ and 1=1 and '%'=' 返回和单独输入2一样的界面

2%‘ and 1=2 and '%'=' 返回不一样的界面

推荐使用burp和sqlmap

如果需要手工注入的话需要上网搜索语句

 

 

access数据库居多