⚓Orch1d的Blogs~

前言本文是初学web安全时写的，有许多地方不够严谨，逻辑上也存在问题，请见谅~ SQL注入当客户端提交的数据未作处理或转义，直接带入数据库 具体来说，当Web应用程序对用户输入数据的合理性没有进行判断时，前端传入后端的参数就可能被攻击者所控制，并且根据这些参数带入数据库查询。攻击者可以通过构造不同的SQL语句来对数据库进行任意查询、增加、删除或修改等操作——->(通过构造一条精巧的语句来查询想要得到的信息 ) 分类 按照查询字段 字符型：当输入的参数为字符串时，称为字符型 数字型：当输入的参数为整形时，可以认为是数字型注入 按照注入方法 Union注入(联合注入) 报错注入 布尔注入 时间注入 注入点是可以实行注入的地方，通常是一个访问数据库的连接 比如 1http://2.0.0.1/sql/Less-1/index.php?id= //id这个地方就是一个注入点 判断字符型注入和数字型注入数字型一般提交内容为数字，但是数字不一定为数字型 1.使用and 1=1 和 and 1=2来判断 如果提交and 1=1 和 and...