黑客 JSP手工注入时 order by 后无论加几 结果都提示出错是怎么回事？

有可能是空点~

有一些假后门（注入点）

是高手网管自己留下的，实际没意义

也就是说那种虚假注入点连不到数据库里，或没权访问数据库。

我曾经还查出来个GOOGLE的注入点，连表名都爆出来了，

但是数据访问不了，后判雹来咨询大虾，他们说就是这个假门的情况。

当然，也有其它可能：

1。你的浏览器过期了，或者不支持你要黑的网站

2。试试其它的语句，ORDER BY被排除了也说不定明冲镇。

好像可以用SELECT UNION，不过我不是手工注入的高手，不太清楚这个两个语句的异同。

如果真的是第二种可能，可以试试加点无用代码，或激粗大小写并用，也许就可以过了...

希望有帮助，要是可以的话，交个朋友也不错，现在学黑的人真的少了很多...

2、正则表达式 2.1、检测SQL meta-characters的正则表达式 /(\%27)|(\')|(\-\-)|(\%23)|(#)/ix 2.2、修正检测SQL meta-characters的正则表达式 /((\%3D)|(=))[^\n]*((\%27)|(\')|(\-\-) 54ne.com |(\%3B)|(:))/i 2.3、典型的 SQL 注入攻击的正则表达式 /\w*((\%27)|(\'))((\%6F)|o|(\%4F))((\%72)|r|(\ 中国网管联盟 %52))/ix 2.4、检测SQL注入，UNION查询关键字的正则表达式 /((\%27)|(\'))union/ix(\%27)|(\') - 单 引号和它的hex等值 union - union关键字。 2.5、检测MS SQL Server SQL注入攻击的正则表达式 /exec(\s|\+)+(s|x)p\w+/ix 3、字符串过滤 public static String filterContent(String content){ String flt ="'|and|exec|insert|select|delete|update|count|*|% |chr|mid|master|truncate|char|declare||or|-|+|,"Stringfilter[] = flt.split("租培咐|")for(int i=0i { content.replace(filter[i], "")} return content} 4、不安全字中桐符屏蔽 本部分采用js来屏蔽，起的作用很小，这样用屏蔽关键字的方法虽然有一定作用，但是在实际应用中这些 SQL的关键字也可能成为真正的查询关键字，到那是被你屏蔽了那用户不是不能正常的使用了。 只要在代码规范上下点功夫就可以了。 功能介绍：检查是否含有"'","\\","/" 参数说明：要检查的字符串 返回值：0：是 1：不是 函数名是 function check(a) { return 1fibdn = new Array ("弊纯'" ,"\\","/")i=fibdn.lengthj=a.lengthfor (ii=0ii { for (jj=0jj { temp1=a.charAt(jj)temp2=fibdn[ii]if (tem'p1==temp2) { return 0} } } return 1}

防止SQL注纤模入埋启攻击 永远都是

防君子不防小人~~~

没人敢说自己写的程序没有漏洞

我们只能尽自己努力去防范~~

防范方法，我知道的也是这两种~~~

期待其毁液缓他方法~

---