CTF-成绩单 点击进去看到这个就联想到了SQL注入 用火狐的HackBar进行sql注入尝试 先输入id=1显示除了一个龙龙龙的成绩单 再试试id=2 判断下注入类型 and 1=1/1=2没反应 试了下单引号注入 id=2'发现成绩单消失了确定为单引号注入 用order by 判断多少列orde ...
分类:
其他好文 时间:
2020-06-29 00:49:03
阅读次数:
109
是Statement的子接口,可以传入带占位符的sql语句,并且提供了补充占位符变量的方法。 使用Statement需要进行拼写SQL语句,很辛苦,很容易出错。 引号的问题处理很复杂,不利于维护。 可以有效的禁止sql注入。(通过用户输入非法的sql命令) 代码的可读性和可维护性,最大可能的提高性能 ...
分类:
数据库 时间:
2020-06-27 20:21:37
阅读次数:
87
今天跟新手朋友们分享Web前端必备基础知识点,希望对你们有所帮助! 一、Web中的常见攻击方式 1.SQL注入 常见的安全性问题。 解决方案:前端页面需要校验用户的输入数据(限制用户输入的类型、范围、格式、长度),不能只靠后端去校验用户数据。一来可以提高后端处理的效率,二来可以提高后端数据的安全。 ...
分类:
Web程序 时间:
2020-06-25 17:54:33
阅读次数:
316
MySQL专题九:SQL注入问题 9.1. 注入问题示例 删除整个表 在用户填写表单时,password字段的值为'0000'; DROP TABLE USERS,字符串拼接后就会出现下面语句,导致整张表被删除 SELECT * FROM USERS WHERE username= 'user1' ...
分类:
数据库 时间:
2020-06-24 00:31:16
阅读次数:
73
首先查看源代码, 没有什么可以利用的 题目提示sql注入,但是不知道过滤了什么东西,可以使用fuzz字典来跑一下,字典跑后发现有三种结果 第一种,就是没有任何回显,意思就是没有过滤该关键字 第二种,就是nonono,被过滤的关键字 第三种,返回了数据 再仔细查看一下禁用了那些函数 informati ...
分类:
数据库 时间:
2020-06-22 15:37:02
阅读次数:
84
此篇文章介绍了什么是SQL注入,并讲解了SQL注入产生的原因,以及显错型SQL注入的利用以及防范的方法,并给出了部分互联网中的案例。 ...
分类:
数据库 时间:
2020-06-21 16:13:37
阅读次数:
90
1.注入单引号 触发错误,页面为空。 确认id参数为字符串型 2.注入布尔表达式 确认存在sql注入漏洞 3.利用布尔盲注,爆破用户名 查询用户名长度 ?id=1' and (select length(user()))=14--+ 使用二分法不断猜测长度值,直到页面返回正常 得到用户名长度为14 ...
分类:
数据库 时间:
2020-06-20 16:06:19
阅读次数:
68
集体测试 也许专业测试里讲这种方式,很可能不叫“集体测试”。因为我根据的自己的理解起了大概符合意思的名词叫集体测试“集体测试”。 这种测试模式就是,公司里所有的测试人员抱成一团儿,来一个项目,所有测试人员就集中测试一个项目。 先说这种分工方式的优点: 1、因为测试团队的中每个成员有都有优缺,人员在工 ...
分类:
其他好文 时间:
2020-06-17 11:15:43
阅读次数:
54
今日内容概要 navicat可视化界面操作数据库 数据库查询题目讲解(多表操作) python如何操作MySQL(pymysql模块) sql注入问题 pymysql模块增删改查数据操作 今日内容详细 Navicat软件 """ 一开始学习python的时候 下载python解释器然后直接在终端书写 ...
分类:
数据库 时间:
2020-06-14 17:03:19
阅读次数:
71
