摘要:
最后自己还有个疑问也一起看下 为什么这种查询方式却不能导致SQL注入的产生 那么继续下断点跟,从明面上看起来好像就是是否是数组的区别! 可以看到最后的$key 和 $value 是如下这两个,后面的EXP表达式根本就没传入进去! 其实在where方法中,就可以看到,前面的判断的条件成立了,其中的处理 阅读全文
posted @ 2020-03-22 15:37
zpchcbd
阅读(309)
评论(0)
推荐(0)
摘要:
继续上面的内容,那么所以我们知道了I方法是不可以进行注入的,其实肯定还会有疑惑,为什么加了空格就不可以进行注入了,那么继续分析 这里代码为:用原生的接收方式来进行接收,这里用GET传参的方式来接收 payload: 继续下断点分析 继续跟,首先在M方法里面就做了一件事情,就是触发自动加载机制给我们返 阅读全文
posted @ 2020-03-22 14:52
zpchcbd
阅读(393)
评论(0)
推荐(0)
摘要:
第一种情况: payload: 为什么这样产生不了SQL注入? 首先先看下I方法的实现: 跟进分析 发现这段部分先将你传入的格式进行分割,比如 ,先看有没有 ,然后分割,再取 左边的字符,继续以 进行分割,取 然后继续判断你的传参方式是哪种方式进行传参的,进行分支判断 把其中数组中的内容进行取出来之 阅读全文
posted @ 2020-03-22 00:47
zpchcbd
阅读(716)
评论(0)
推荐(0)
浙公网安备 33010602011771号