web SQL注入

时间：2018-05-19 12:35:30 阅读：138 评论：0 收藏：0 [点我收藏+]

注入类型

1.数字注入

?id=12 or 1=1

技术分享图片

结果：查询出了数据库所有数据

技术分享图片

2.字符注入

用户名后加上 ‘# 或者 ‘-- ，生成的查询语句从密码后其实是被注释了，所以绕过了密码验证

技术分享图片

预防方法

技术分享图片

1. is_number(）进行类型判断，或者 intval()进行强制类型转换

2. addslashes()对单引号、双引号进行转义

3. 不做说明

原文：https://www.cnblogs.com/xie-xiao-chao/p/9059961.html

踩

(0)

评论一句话评论（0）

分享档案

更多>