35岁重学网络安全——SQL注入篇(九)

鲁迅先生曾经说过:做安全,先免责!

用户在使用本文信息时,应自行承担风险。本文不对用户因使用本文信息而导致的任何直接或间接损失承担责任。

本文主要内容:报错注入基础、extractValue()报错注入原理分析(get型)

报错注入原理

在SQL注入中,若SQL语句正确,则页面正常返回,但返回的页面中不包含任何有用的信息,而当SQL语句错误时,页面会显示SQL错误信息。

案例演示

当输入正常内容时(即构造正确的SQL语句时),页面中只会显示正确信息,但是不会返回查询到的信息。
在这里插入图片描述

当输出错误的查询内容时,会显示一些报错信息。

在这里插入图片描述

extractValue()报错注入基础

extractValue()原型

extractValue()包含两个参数:

  • 第一个参数:要从中提取数据的 XML 文档,可以是一个字符串或一个 XML 类型的列。
  • 第二个参数:用于指定要提取的节点路径的 XPath 表达式。

extractValue()使用案例

准备数据

创建测试数据库:create database sectest charset utf8;

在这里插入图片描述

创建测试表:create table xml(content varchar(500));

在这里插入图片描述

插入三条测试数据:

insert into xml(content) values('
<student>
	<id>1000</id>
	<info>
		<name>tom</name>
		<age>20</age>
		<gender>male</gender>
	</info>
</student>
');

insert into xml(content) values('
<stu
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

道人禅(armey)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值