sql注入-推断是否存在SQL注入-and大法和or大法
2024-08-28 06:16:13
来自:https://www.cnblogs.com/ichunqiu/p/5749347.html
页面不返回任何错误信息,我们就可以借助本方法来推断了,首先我们在参数后面加上 and 1=1和and 1=2看看有什么不同
可以发现and 1=1 返回了数据,而and 1=2没有,这是由于1=1是一个为真的条件,前面的结果是true,true and true 所以没有任何问题,第二个 1=2 是个假条件, true and false还是false,所以并没有数据返回。
好,讲完and,我们自来看看 or ,or就是或者,两个都为假,才会为假。我们先把id改为5,可以发现id=5是没有数据的。
可以发现我们加上or 1=1就成功返回了数据,这是因为1=1为真,不管前面是不是假,数据都会返回,这样就把表里面数据全部返回。
最新文章
- js兼容性
- iOS底层基础知识-文件目录结构
- Linux_Shell_脚本参数接收键盘输入
- 新浪微博客户端(36)-自定义带placeholder的TextView
- mysql 同步
- docker网络配置之自定义网桥
- Intellij IDEA 根据数据库自动生成pojo和hbm
- [读书笔记]项目管理实战:Microsoft Project精髓与方法
- wxPython_Phoenix在线安装
- java中Iterator和ListIterator的区别与联系
- ubuntu14.04 安装lnmp + redis
- MyBatis-Plus的简单使用
- day_5.07py
- bootstrap日历控件
- C++调Python示例(转载)
- MathType编辑半直积符号的步骤
- 在js中通过call或者apply实现继承
- 004-ant design -dispatch、request、fetch
- LeetCode35.搜索插入位置 JavaScript
- Linux进程间通信:管道,信号量,消息队列,信号,共享内存,套接字