最为经典的单引号判断法: 在参数后面加上单引号,比如:
http://xxx/abc.php?id=1\’
如果页面返回错误,则说明发生了SQL 注入。 原因是字符型和整数型都报错,因为单引号的个数不匹配。
SQL 注入漏洞通常分为两类:数字和字符。
数值判断:
如果在URL地址中输入http://xxx/abc.php?id=x和1=1,页面将继续正常工作。继续下一步。
继续在URL地址中输入http://xxx/abc.php?id=x和1=2。如果页面运行不正确,则说明本次SQL注入是数字注入。
字符类型判定:
如果我在URL地址中输入http://xxx/abc.php?id=x\’和\’1\’=\’1,则页面运行成功。继续下一步。
继续在URL地址中输入http://xxx/abc.php?id=x\’和\’1\’=\’2。如果页面运行不正确,则说明本次SQL注入是字符注入。
以上判断是否存在#SQL注入的相关内容来源网络,仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/91433.html
