绕过过滤and和or的SQL注入
基础知识介绍内联注释的语句会被当做sql语句执行去除and和or的代码分析上述代码意思就是将and和or字符串替换为空参数/i意思是对大小写不敏感即无论大小写都被替换绕过去除and和or的SQL注入输入id=1正确id=1\错误查看错误信息原sql语句应该是id=‘id’当我们在输入id=1‘ --+正确在输入id=1’ and 1=1–+ 错误说明and被过滤了输入Or也被过滤了但是输入Anandd没有报错即绕过了去除and和or的过滤机制Sqlmap安全测试
