IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> 小迪安全第14天 web漏洞,SQL注入之类型及提交注入 -> 正文阅读

[PHP知识库]小迪安全第14天 web漏洞,SQL注入之类型及提交注入

14 web漏洞,SQL注入之类型及提交注入

? 在真实 SQL 注入安全测试中,我们一定要先明确提交数据及提交方法后再进行注入,其中提交数据类型和提交方法可以通过抓包分析获取, 后续安全测试中我们也必须满足同等的操作才能进行注入。

img

简要明确参数类型

数字,字符,搜索性,json等

数字型参数

请添加图片描述

字符型参数

请添加图片描述

如果字符型参数未加单引号,则会报错

字符型参数注入需要将单引号闭合

如:

select * from users where name = 'xihua and 1=1' 

select * from users where name = 'xihua' and 1=1#'

加上单引号进行闭合,并且注释后面的单引号


搜索型参数

将数据进行搜索并进行展示

语句可能为

select * from users where name like ‘%xihua%’

select * from users where name like (’%xihua%’)

则需要注释单引号’、百分号%、括号等,需要自己进行多次尝试

简要明确请求方法

GET,POST,COOKIE,REQUEST,HTTP 头等

根据网站的情况来获取相应的请求方法,请求方法可以通过在访问网站的时候请求头查看

请添加图片描述

不同的请求方法,不同注入

get请求post请求
<?php

$get=$_GET['q'];
echo $get;

$post=$_POST['p'];
echo $post;

$c=$_COOKIE['c'];
echo $c;

$r=$_REQUEST['r']
echo $r;
 
$s=$_SERVER['HTTP_USER_AGENT'];
echo $s;

?>

请添加图片描述

如果在url中提交q与p
请添加图片描述

仍然只显示123

通过火狐插件 HackBar 在post提交p

请添加图片描述

请添加图片描述

成功显示123456

在网址后面传参为get请求,就算为post请求方式,也可以get方法传递参数

cookie

cookie不是请求方法,是在数据包中cookie

可以通过修改数据包中的cookie进行注入

修改数据包中的cookie
请添加图片描述

requset

get post 均为接收单个的,request为全部接收

以get传递参数,接收,以post传递参数,接收,以cookie传递参数,也接收

get

请添加图片描述

post

请添加图片描述

cookie

请添加图片描述

HTTP_USER_AGENT

$_SERVER是PHP里内置变量,全局变量,PHP写脚本时用它来获取系统的值
请添加图片描述

有些网站会获取你的设备信息,我们可以从这一个角度进行注入

请添加图片描述

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2021-12-16 17:27:50  更:2021-12-16 17:28:52 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/14 14:39:49-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码