#每日三件事,第1281天#
书山有路勤为径,学海无涯苦作舟。一座大山,你永远都探索不完;一片大海,你永远都不值它有多深。
很多书可以读很多遍,尤其是那些经典书籍。每次读一遍,都能有不同的收获。
网络安全,永无止尽。
仅仅一个SQL注入,就可以有很多中表现方式。虽然讲过很多次了,但真正从原理上理解了的人,的确不多。
就拿闭合方式来说,其实最终的目的就是为了能够加载payload,构造我们想要的代码,获得我们想要的结果。有时候,我们并没有办法来判断“and 1=1”到底执行了没有。怎么办?当然是用一个我们很容易判断的代码来做测试了。
sleep函数就是非常好的一个,有没有执行,立马就能知道。
我一只在讲练习的时候用手工注入,实战的时候用sqlmap。sqlmap跑不出来的时候,我们不仅可以用手工注入,还可以编个程序来注入。手段灵活,方式多样。关键是要明白原理,原理很重要。
如果是要考试的话,当然可以把闭合方式分成好几个部分来出题。难度其实没有增加,增加的麻烦。稍做变化之后,很多只知道表面,不理解本质的人,马上就一脸懵,不知如何是好。
SQL注入,永无止境。其实学习才是真正的永无止境。
网友评论