Pikachu-Sql Inject-搜索型注入

MySQL的搜索语句:

select * from table where column like '%text%';

如:使用引号闭合左边的引号, or 1=1 把所有数据查询出来; # 注释掉后面的 ' 引号等;

复制代码
test' or 1=1#

查询出结果:

注入的核心点就是去猜测后台的SQL语句,然后构造闭合;后端可能用各种符合组合,对应的也要做符号闭合。

相关推荐
Databend2 小时前
Agent 轨迹分析与归因的数据工程实践
大数据·数据库·agent
这个DBA有点耶2 小时前
SQL改写进阶:标量子查询的“隐形代价”与消除实战
数据库·mysql·架构
smallyoung3 小时前
数据库乐观锁深度解析:MySQL、PostgreSQL 实战 + Spring Boot 集成指南
数据库·mysql·postgresql
parade岁月3 小时前
MySQL JOIN解析:朴实无华但食之有味
数据库·后端
用户3169353811834 小时前
MySQL服务无法启动问题解决全记录
数据库
vivo互联网技术7 小时前
从 10 分钟到 1 秒:ES 深度分页任意跳页的三轮优化实战
服务器·数据库·redis·elasticsearch·深度分页
倔强的石头_1 天前
《Kingbase护城河》——猎捕慢查询:执行计划的微观解析与索引调优实战
数据库
SelectDB1 天前
Apache Doris Python UDF:让 SQL 直接调用 Python 生态,支撑 Agent 时代复杂业务逻辑
大数据·数据库·python
jiayou642 天前
KingbaseES 表级与列级加密完全指南
数据库·后端
GBASE3 天前
G术时刻 |GBase 8s数据库事务并发控制之封锁技术介绍(下)
数据库