MyBatis的增删改查,特点是只要定义接口,不用实现方法,sql语句在xml中配置,非常方便 文件结构 接口UserDao 实体类User 实体封装 SqlMapConfig.xml sql语句 测试类 欢迎关注我的微信公众号:安卓圈 ...
分类:
其他好文 时间:
2019-06-29 13:14:10
阅读次数:
72
sqlmap可谓是利用sql注入的神器了,sqlmap的参数很多,接下介绍几种常见的参数。 一。注入access数据库常用的参数 sqlmap.py -u "url" //判断参数是否存在注入 sqlmap.py -u "url" --tables //猜解表名 sqlmap.py -u "url" ...
分类:
数据库 时间:
2019-05-30 01:45:22
阅读次数:
135
Options(选项):–version 显示程序的版本号并退出-h, –help 显示此帮助消息并退出-v VERBOSE 详细级别:0-6(默认为 1)Target(目标):以下至少需要设置其中一个选项,设置目标 URL。-d DIRECT 直接连接到数据库。-u URL, –url=URL 目 ...
分类:
数据库 时间:
2019-05-30 01:08:31
阅读次数:
145
前言 断断续续看Web安全到现在了,感觉对很多基础知识还是一知半解,停留在模糊的层次。所以准备系统总结一下。 Sql注入我以前一直不以为然,一是现在能sql的站确实很少,二是有像sqlmap的工具可以用。而且想要修复也很简单。 但后来发现不管是CTF题目中,还是实站中还有有很多需要用到sql注入的地 ...
分类:
数据库 时间:
2019-05-29 14:25:52
阅读次数:
124
一、步骤 判断是否存在注入,注入是字符型还是数字型 猜解sql查询语句中的字段数 确定显示的字段顺序 获取当前数据库 获取数据库中的表 获取表中的字段名 下载数据 工具:sqlmap 判断是否存在注入,注入是字符型还是数字型 猜解sql查询语句中的字段数 确定显示的字段顺序 获取当前数据库 获取数据 ...
分类:
数据库 时间:
2019-05-12 15:36:45
阅读次数:
131
前面Mybatis是直接通过Dao层与数据交互,更好的方法是Mybatis通过接口映射方式与数据交互 1.在项目中添加maven支持(即pom.xml下添加支持) Maven要按照大佬博客说的配置,接下来file settings Maven Maven home directory设置为 然后us ...
分类:
其他好文 时间:
2019-05-09 23:50:27
阅读次数:
137
0x1 命令 以此类推,可以具体自己研究有哪些参数,放在哪,有什么用,怎么用 参考:https://blog.csdn.net/bo_mask/article/details/76130848 0x2 配置 傻瓜式注入的配置文件在 打开后可以看到,比如tor选项都是关着的 以此类推,我们可以自己设定 ...
分类:
数据库 时间:
2019-03-30 17:23:48
阅读次数:
149
数据包: 测试参数:username,测试payload: ' ' or '1'='1 ' or '1'='2 响应结果都未发生任何变化,借助sqlmap测试,结果一样: 尝试在or前面进行简单的fuzz,结果为: 发现' or 1=1 or '1'='1可以直接登录系统,也就是说此处是存在sql注 ...
分类:
数据库 时间:
2019-03-30 13:15:14
阅读次数:
165
