数据库与前端的简单建立及过滤注入参数(数字型注入举为例)

转载 于 2018-07-21 11:46:00 发布 · 133 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/zaqzzz/p/9346122.html
文章标签:

#数据库 #前端 #ViewUI

数据库配置:sqlin下的news表

1397720-20180721114315643-712040284.png

1.最简单的数据库连接,无任何过滤,可以看出是个数字型注入。.

1397720-20180721114329440-1562257139.png

查询数据库,我们这里只看sqlin(也可以看其他的,因为连接的时候为root权限)

1397720-20180721114354554-1298924656.png

查表

1397720-20180721114403298-1609502578.png

查列

1397720-20180721114415411-1861165852.png

查内容,from数据库.表名

1397720-20180721114421616-577799728.png

注意:当查询表名和列名的时候where table_name=’news’会报错,把news转化为16进制就好了。

2.对id进行is-numeric()过滤

1397720-20180721114444131-231460890.png

3.对关键字进行过滤 union,select,and,or...

1397720-20180721114458112-1067758002.png

这个时候只要有select都会被换为空
但是可以大小写不同绕过,比如SelECT
过滤大小写用strtolower($id)函数解决大小写绕过
或者直接用$id=str_ireplace("select","",$id);这个函数不区分大小写
正则表达式确定绕过的对象

转载于:https://www.cnblogs.com/zaqzzz/p/9346122.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值