MySQL的搜索语句:
select * from table where column like '%text%';
如:使用引号闭合左边的引号, or 1=1 把所有数据查询出来; # 注释掉后面的 ' 引号等;
test' or 1=1#查询出结果:
注入的核心点就是去猜测后台的SQL语句,然后构造闭合;后端可能用各种符合组合,对应的也要做符号闭合。
相关推荐
赵渝强老师19 小时前
【赵渝强老师】使用TiSpark在Spark中访问TiDBQinana20 小时前
第一次用向量数据库!手搓《天龙八部》RAG助手,让AI真正“懂”你曲幽1 天前
FastAPI + PostgreSQL 实战:从入门到不踩坑,一次讲透DolphinDB2 天前
集成 Prometheus 与 DolphinDB 规则引擎,构建敏捷监控解决方案IvorySQL2 天前
PostgreSQL 技术日报 (3月10日)|IIoT 性能瓶颈与内核优化新讨论DBA小马哥2 天前
时序数据库是什么?能源行业国产化替换的入门必看爱可生开源社区2 天前
某马来西亚游戏公司如何从 SQL Server 迁移至 OceanBase?小瓦码J码2 天前
PostgreSQL表名超长踩坑记yhyyht2 天前
InfluxDB入门记录(三)flux-dslIvorySQL3 天前
PostgreSQL 技术日报 (3月9日)|EXPLAIN ANALYZE 计时优化与复制语法讨论