Boxbiu的博客

POST注入与Head注入POST注入post注入与get注入的区别在于表单的传递方式，无本质差别get传参通过url编码，使用？来标识，数据量有限post注入一般对输入框进行传参，数据量比较大查询是否有注入点对输入框填入一些闭合的符号，看页面是否异常例如： ’ " ') ")尝试使用万能密码admin或123465或 ’ or 1=1 #post注入' or 1=1 order by 1' or 1=2 union select 1,2,3#

注入的本质把用户输入的数据当作代码执行，须满足两条件：​ 1. 用户能控制输入​ 2. 原本程序要执行的代码，拼接了用户输入的数据然后进行执行sql注入注入步骤判断注入点最古老的方法：and 1=1 页面显示正常and 1=2 页面显示不正常最简单的方法：传参后面加 ’ ，看是否报错若为数字型传参，可以用-1例如：http://www.xxx.com/new.php?id=1 页面显示id=1的新闻http://www.xxx.com/new.php?id=2-1 页面显示i