本文主要内容:SQL
注入的概念、SQL
注入的分类、注入类型的判断、闭合方式与判断。
SQL注入概念
通过把SQL
命令插入到WEB表单或域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL
命令,从而进一步得到相应的数据信息。
简单讲:构造一条恶意的
SQL
语句,进而达到查询想要的得到的信息的目的
SQL注入分类
按照查询字段
- 数字型:当输入的参数为整形时,称为数字型注入
- 字符型:当输入的参数为字符串时,称为字符型注入
按照注入方法
union
注入- 报错注入
- 布尔注入
- 时间注入
- 堆叠注入
注入点
可以实行注入的地方,通常是一个可以与数据库进行连接的地方。
判断注入类型
判断字符型注入还是数字型注入
为什么要判断数字型还是字符型
答:构造恶意sql
语句时,数字型无需判断闭合方式,字符型需要判断闭合方式
方法一
使用and 1=1和and 1=2进