注释符
Mysql 有三种常用注释符:
--[空格] 注意,后边有一个空格
# 通过#进行注释
/* */ 注释掉符号内的内容
但因为要经过url编码(即经过浏览器),我们需要进行对应修改。
--[空格] => --+或--%20因为+url编码后会被解析成空格。
# => %23 在html中#有特殊的含义(CSS选择器用于页面定位),所以直接使用其url编码。
/* */ 无需变更,在后边的内联注释waf绕过我们需要用到。
SQL注入基本思路:
1.注入点测试,是否存在?字符型or数字型?
2.猜解 SQL 查询语句中的字段数
3.确定显示的字段顺序
4.获取当前数据库
5.获取数据库中的表
6.获取表中的字段名
7.查询到账户的数据
网友评论