数字型,字符型及搜索型和XX型的SQL注入

本文介绍了SQL注入的四种类型:数字型、字符型、搜索型和XX型。通过示例展示了利用Pikachu数据进行检验,以及如何通过Burp Suite(BP)进行抓包和重放测试,揭示了SQL注入的可能,并提供了后端代码片段以说明攻击方式。对于字符型注入,强调了需要构造合法SQL语句的重要性。

一,数字型:
在这里插入图片描述

在这里插入图片描述
先随机选一个选项 点击查询 得到上图

然后YY是否可以进行注入
在这里插入图片描述
在这里插入图片描述
打开pikachu数据 输入show tables 进行检验
在这里插入图片描述
在输入desc member
在这里插入图片描述
再输入下图代码 遍历数据库 由于1or1永远为真 所以会将数据库内容全部显示

在这里插入图片描述

打开bp进行抓包

为操作方便 先关闭拦截 使用HTTP history进行查找

在这里插入图片描述
先随便选择一个选项 点击查询 然后在bp中找到 发送到repeater中做重放测试

在这里插入图片描述

在这里插入图片描述

将id更改为

运行后 得到返回值为200
在这里插入图片描述

在这里插入图片描述
通过上述可知可以进行SQL注入 可以自己拼接一下SQL来让它反应
后端代码:
在这里插入图片描述
二,字符型注入

初始步骤与数字型基本相同

在这里插入图片描述
在这里插入图片描述
先YY

在这里插入图片描述
在这里插入图片描述
需要构造一个合法的SQL语句
在这里插入图片描述
效果图
在这里插入图片描述
三,搜索型SQL注入

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
四,XX型SQL注入
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
好艰辛

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值