执行以下操作,若出现错误提示,可能就存在注入漏洞
1、单引号 等特殊字符
输入: ' 、# 、 = 、 % 等等
结果:如果出现错误提示如网络错误或者没反应(未给出无数据的提示),则该网站可能就存在注入漏洞。
2、数字型判断是否有注入
语句: and 1=1;and 1=2 (经典) 或 ' and '1'=1 (字符型) 或 1′ and 1=1 –+
分析:and 的意思是“和”如果没有过滤我们的语句,and 1=1就会被代入sql查询语句进行查询, 如果and前后的两条语句都是真的话就不会出错,但如果前后语句有一个为假的话,程序就会暴错。 也就表明程序有注入漏洞
网友评论