可我浪费着我寒冷的年华

随笔分类 -  sql注入及防御技术

上一页 1 2 3
■SQL注入自学[第三学:注入点的读写、out_file]
摘要:00x1 判断是否可读 code: 00x2 判断是否可读 00x2 使用load_file读文件 00x2 使用out_file写入木马文件 code; 阅读全文
posted @ 2016-11-07 14:16 珍惜少年时 阅读(1836) 评论(1) 推荐(0)
sql注入之你问我答小知识
摘要:/*每日更新,珍惜少年时博客*/ 1.问:为啥order by 是排序。而在注入当中后面加的却不是字段而是数字捏? 答:第N个字段嘛。order by 5就是第五个字段,如果5存在,6不存在。就说明只有五个字段咯。 2.问:为啥order by 猜出字段数了以后,就是联合查询的时候的个数(比如字段为 阅读全文
posted @ 2016-11-06 23:30 珍惜少年时 阅读(712) 评论(0) 推荐(0)
深入了解SQL注入绕过waf和过滤机制
摘要:这一篇文章是我见过最强悍的干货!磨心掏肺的对作者说一句谢谢!原文转载自乌云。 阅读全文
posted @ 2016-11-06 18:54 珍惜少年时 阅读(3977) 评论(0) 推荐(0)
sql注入攻击的预防函数-如何防御sql注入
摘要:1.预编译 2.捆绑变量各种过滤 用到的函数: addslashes htmlspecialchars mysql_escape_string($string) mysql_real_escape_string($string) is_numeric(str) #判断是否为数字 <?php func 阅读全文
posted @ 2016-11-06 17:33 珍惜少年时 阅读(477) 评论(0) 推荐(0)
SQL注入自学[第二学:注入环境的简单突破]
摘要:/* 原文出处:珍惜少年时 留给原创一个ZBD机会。 加号即空格 */ 00x1 判断是否含有注入 返回正确的页面。 页面的数据就不存在了。说明and是被带入到数据库当中的。 00x2 判断字段长度 如图所示有三个字段,所以order by 3是正确的。order by 4是错误的。因为只有三个字段 阅读全文
posted @ 2016-11-05 03:50 珍惜少年时 阅读(685) 评论(0) 推荐(0)
SQL注入自学[第一学:一个简单的注入环境的编写]
摘要:外人勿进##################################密码保护################################## 阅读全文
posted @ 2016-11-04 19:50 珍惜少年时 阅读(1079) 评论(0) 推荐(0)

上一页 1 2 3
可我浪费着我寒冷的年华