MySQL的搜索语句:
select * from table where column like '%text%';
如:使用引号闭合左边的引号, or 1=1 把所有数据查询出来; # 注释掉后面的 ' 引号等;
test' or 1=1#查询出结果:
注入的核心点就是去猜测后台的SQL语句,然后构造闭合;后端可能用各种符合组合,对应的也要做符号闭合。
相关推荐
ClouGence16 小时前
Oracle 数据同步为什么会出现数据不一致?长事务是常被忽略的原因飞将18 小时前
从零实现数据库(2)——HashIndex + IndexManagerNturmoils2 天前
订单列表慢查询,先看 WHERE、ORDER BY 和 LIMIT渣波2 天前
拒绝 SQL 焦虑!手把手带你用 NestJS + Prisma + DTO 写出“防弹”级后端代码倔强的石头_3 天前
KingbaseES 新版MySQL 兼容版体验:旧版迁移 + 功能实测zzzzzz3104 天前
9K Star 炸裂开源!这个 C 语言写的代码知识图谱,把 Linux 内核索引压缩到了 3 分钟倔强的石头_6 天前
《Kingbase护城河》——数据库存储空间全景探测与精细化瘦身实战云技纵横6 天前
唯一索引 INSERT 死锁实战:5 秒复现交叉插入的 S 锁循环等待冬奇Lab6 天前
每日一个开源项目(第134篇):Zvec - 阿里开源的嵌入式向量数据库,向量搜索界的 SQLiteClouGence7 天前
Oracle CDC 架构优化:从主库直连到 DataGuard 备库同步