SQL报错注入检测方法与攻击方法

报错注入

即是注入检测方法,又是注入读取数据的方法

攻击者在判断一个参数是否存在SQL注入漏洞时,会拼接单引号,反斜杠字符,如果显示语法报错,证明这个位置具有SQL注入漏洞,也可以通过整数溢出来判断,仅作为低风险的提示,无法直接检测出是否存在SQL注入漏洞

报错注入还可以用来发起攻击,在一些场景下,通过报错回显将目标信息打印在网页上

广为流传的10种MySQL报错注入方法

1.floor();

select * from test where id=1 and(select count (*)、concat(user()、floor(rand(0)*2))x from information schema.tadles group by x)a)

2.extractvalue();

3.updatexml();

4.geometrycollection();

5.multipoint();

6.polygon();

7.multipolygon();

8.linestring();

9.multilinestring();

10.exp();

相关推荐
Waay3 小时前
面试口述版:个人对 Prometheus 完整理解
运维·学习·云原生·面试·职场和发展·kubernetes·prometheus
一楼的猫6 小时前
AI写作合规技术方案:平台检测机制分析与规避策略
人工智能·学习·机器学习·ai写作
四月天437 小时前
web安全-SSTI(服务器模板注入)
笔记·学习·web安全·网络安全
网络与设备以及操作系统学习使用者8 小时前
相对论核心原理详解
学习·深度优先
疯狂打码的少年8 小时前
【操作系统】虚拟存储管理(局部性原理、缺页中断)
笔记
NULL指向我8 小时前
TMS320F28379D笔记5:CAN通信多邮箱配置
笔记
aaaameliaaa10 小时前
进制练习题【找出只出现一次的数字、交换两个变量(不创建临时变量)、统计二进制中1的个数、打印整数二进制的奇数位和偶数位、求两个数二进制中不同位的个数】
c语言·数据结构·笔记·算法
吃好睡好便好11 小时前
泰戈尔的诗歌7
学习·生活
-To be number.wan11 小时前
数据库系统 | 规范化理论
数据库·学习
RainCity11 小时前
Java Swing 自定义组件库分享(十三)
java·笔记·后端