【肾透测试笔记 --SQL注入篇

SQL注入篇_前言

• 一、SQL注入原理
• • • 1.sql语句的拼接
    • 2.未进行严格过滤
• 二、SQL注入的危害
• • • 1.简单来说可以增删改查数据，脱裤
    • 2.若权限足够，可上传恶意文件GetShell
• 三、SQL注入分类
• • 基本类型
  • • 1.字符型注入
    • 2.数字型注入
  • 依据注入手法
  • • 1.联合查询
    • 2.报错注入
    • 3.布尔盲注
    • 4.延时注入
    • 5.堆叠查询
  • 依据提交参数
  • • 1.GET注入
    • 2.POST注入
    • 3.cookie注入
    • 4.HTTP头部注入
  • 依据注入点位置
  • • 1.URL注入
    • 2.搜索框注入
    • 3.留言板注入
    • 4.登录框注入
  • 其他情况
  • • 1.宽字节注入
    • 2.base64注入
    • 3.User-Agent注入
    • 4.Referer注入

一、SQL注入原理 1.sql语句的拼接

在处理程序和数据库交互时，使用字符串拼接的方法构造SQL语句

2.未进行严格过滤

未对用户可控参数进行足够的过滤，便将参数内容拼接到SQL语句中

二、SQL注入的危害 1.简单来说可以增删改查数据，脱裤 2.若权限足够，可上传恶意文件GetShell 三、SQL注入分类 基本类型 1.字符型注入 2.数字型注入 依据注入手法 1.联合查询 2.报错注入 3.布尔盲注 4.延时注入 5.堆叠查询 依据提交参数 1.GET注入 2.POST注入 3.cookie注入 4.HTTP头部注入 依据注入点位置 1.URL注入 2.搜索框注入 3.留言板注入 4.登录框注入

…

其他情况 1.宽字节注入 2.base64注入 3.User-Agent注入 4.Referer注入