SQL注入前要判断是哪种数据库。
MySQL或者sql sever等数据库都有自己的内置数据库。
网页:
静态网页(html/htm)
动态网页(asp/aspx/php/jsp)
1.窃取数据库敏感信息
2.对数据进行恶意的增删改
3.造成拒绝服务
4.文件系统操作:列目录,读取、写入文件(一句话木马)等。
5.获取服务器权限(执行系统命令)
数字型---不需要考虑单引号或双引号闭合
字符型---需要考虑单引号闭合和注释问题
回显注入---回显正常/回显报错
盲注---布尔型盲注/基于时间的盲注
原文:https://www.cnblogs.com/123456ZJJ/p/12752691.html