SQL注入类型判断

SQL注入的类型分为字符型和数字型,以sqli-labs靶场1、2关为例:

文章目录

第一关

第一关注入一个1',错误回显出下面内容,其中1'是注入的内容,0,1后面的单引号和最前面的单引号是一对,剩下的两个单引号是一对,错误回显出上面内容说明是字符型注入。

复制代码
''1'' LIMIT 0,1'

第二关

第二关注入一个1',错误回显出下面内容,没有回显出注入的1'说明该注入类型是数字型:

无错误回显的判断

如果注入时没有错误信息回显,那么上面的方法就不能用了,这时候可以注入算式来判断,依然以一二关为例:

第一关

注入一个id=1正常回显:

注入一个id=2-1回显内容改变,说明这关的后端代码将2-1当做字符串处理,才改变了回显内容,证明该关类型为字符型注入

第二关

注入一个id=1正常回显:

注入一个id=2-1回显内容依然相同,说明这关的后端代码将2-1先进行算术运算后才接收,所以回显内容无变化,证明该关类型为数字型注入

相关推荐
m0_6239556618 分钟前
Oracle使用SQL一次性向表中插入多行数据
数据库·sql·oracle
阿蒙Amon1 小时前
C#读写文件:多种方式详解
开发语言·数据库·c#
东窗西篱梦1 小时前
Redis集群部署指南:高可用与分布式实践
数据库·redis·分布式
就是有点傻2 小时前
C#如何实现中英文快速切换
数据库·c#
jnrjian3 小时前
Oracle RAC环境 加错数据文件 的修复 归档非归档都没问题
sql·oracle
1024小神3 小时前
hono框架绑定cloudflare的d1数据库操作步骤
数据库
KellenKellenHao4 小时前
MySQL数据库主从复制
数据库·mysql
@ chen5 小时前
Redis事务机制
数据库·redis
KaiwuDB5 小时前
使用Docker实现KWDB数据库的快速部署与配置
数据库·docker
一只fish5 小时前
MySQL 8.0 OCP 1Z0-908 题目解析(16)
数据库·mysql