基础知识介绍
内联注释的语句会被当做sql语句执行
去除and和or的代码分析
上述代码意思就是将and和or字符串替换为空
参数/i意思是对大小写不敏感
即无论大小写都被替换
绕过去除and和or的SQL注入
输入id=1正确
id=1错误
查看错误信息原sql语句应该是
id=‘id’
当我们在输入id=1‘ --+正确
在输入id=1’ and 1=1–+ 错误
说明and被过滤了
输入Or也被过滤了
但是输入Anandd没有报错
即绕过了去除and和or的过滤机制
Sqlmap安全测试
最后
以上就是顺利小熊猫最近收集整理的关于绕过过滤and和or的SQL注入的全部内容,更多相关绕过过滤and和or内容请搜索靠谱客的其他文章。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复