Mysql下可能存在注入的点。
2024-09-08 08:44:46
总结下mysql下可能存在注入的点,适用于mssql和oracle,先写语句,以后再写语句可能出现在哪些场景下:
针对查询:
select * from x where id=*
select * from x where id='*'
针对删除:
delete from x where id=*
delete from x where id='*'
针对修改:
update x set name='*'
update x set name='x',x='*' where id=x
针对插入:
insert into x values(1,'*')
insert into x(id,name) values(1,'*')
针对搜索查询(like):
select * from x where name like '*%'
select * from x where name like '%*%'
select * from x where name like '%*'
针对排序(order by):
select * from x order by *
针对统计(group by):
select from x group by *
针对in:
select * from user1 where id in (1,*)
select * from user1 where id in ('1','*')
针对limit:
select * from x limit *
select * from x limit 0,*
select * from x order by id limit *
select * from x order by id limit 0,*
针对数组key:
function addslashes_array($value) { return is_array($value) ? array_map('addslashes_array', $value) : addslashes($value); } print_R($_GET); foreach ($_GET AS $key => $value) { print $key; } ?> ....
假设http://*.com/test=123,代码中过滤了value没有过滤key,白盒/fuzz中可以通过http://*.com/test'=123注入
暂时先总结这么多。注入的时候可能遇到的一些。
最新文章
- 正则表达式解析URL
- nginx访问白名单设置以及根据$remote_addr分发
- PowerDesigner中Table视图同时显示Code和Name
- SAP采购订单审批记录增强
- sql执行万条update语句优化
- 使用libevent进行多线程socket编程demo
- collection系列用法-namedtuple()
- Spring mvc系列一之 Spring mvc简单配置
- QQ微信刷屏助手 FlashScreenAssist 1.2发布
- require.js 源码解读——配置默认上下文
- 【外文翻译】使用Timer类去调度任务 ——java
- Erlang gen_server进程花样作死
- Caused by: java.lang.ClassNotFoundException: org.aspectj.weaver.reflect.ReflectionWorld$ReflectionWo
- python接口自动化(二十三)--unittest断言——上(详解)
- ssm框架如果想要跨域请求,cors跨域
- Iframe框架+table布局 +div布局实例
- TensorFlow学习之四
- 雷林鹏分享:XML to HTML
- 第八周PSP(11.5--11.9)
- WebView利用UserAgent传递SESSIONID
热门文章
- 2.5w字 + 36 张图爆肝操作系统面试题,太牛逼了!
- Lua C++交互 应用实例步骤(UserData使用)
- 京东 Vue3 组件库闪亮登场
- Java 开发工具
- There only 10 people use the same phone as you(i春秋CTF题解)
- 修改 Hosts 解决 Github 访问缓慢问题
- tomcat启动错误Failed to start component [StandardEngine[Catalina].StandardHost[localhost].StandardContext[/ofuns]];
- [unknown source] 快乐树
- 修饰符static和abstract
- 让你的浏览器变成Siri一样的语音助手