0.前言 本篇博文是对SQL手工注入进行基础知识的讲解，更多进阶知识请参考进阶篇（咕咕），文中有误之处，还请各位师傅指出来。学习本篇之前，请先确保以及掌握了以下知识： 基本的SQL语句 HTTP的GET、POST请求，URL编码 文中所有例题选自sqlilab，可以先配置好一起 ...

开发人员在开发Web系统时对输入的数据没有进行有效的验证及过滤，就存在引发SQL注入漏洞的可能，并导致查看、插入、删除数据库的数据，甚至可以执行主机系统命令。 1.可能出现asp？id=x的网站 　　只能是基于asp、PHP、jsp、aspx的动态网站，并且存在数据库交互，例：登陆、留言板 ...

0x00 这边我用的是墨者学院的靶场 https://www.mozhe.cn/bug/detail/UDNpU0gwcUhXTUFvQm9HRVdOTmNTdz09bW96aGUmozhe 0x01 下面我进入靶场需要登录 由于没有账号密码弱口令也不行 所以判断不需要登录注入点可以寻找 ...

0x00 我这边是利用墨者学院的靶场来进行讲解 靶场地址：https://www.mozhe.cn/bug/detail/elRHc1BCd2VIckQxbjduMG9BVCtkZz09bW96aGUmozhe SQL注入原理相关文章：https://www.cnblogs.com ...

比方说在查询id是50的数据时，如果用户传近来的参数是50 and 1=1，如果没有设置过滤的话，可以直接查出来，SQL 注入一般在ASP程序中遇到最多， 看看下面的 1.判断是否有注入 ;and 1=1 ;and 1=2 2.初步判断是否是mssql ...

SQL注入 　　当我们学习一个知识时我们要考虑几个问题：是什么？怎么做？然后进行有条理的学习 是什么？ 　　首先我们要明白SQL注入是什么： 　　　　sql——结构化查询语言 　　　　SQL注入就是在网站url中插入sql语句，执行sql命令，获取数据库内容，达到欺骗服务器的目的 ...

0.前言 　　上一篇我们介绍了SQL手工注入的流程以及步骤，但在实际的安全问题以及CTF题目中，查询语句多种多样，而且是肯定会对用户的输入进行一个安全过滤的，而这些过滤并不一定是百分百安全的，如何利用一些技巧绕过一些安全过滤，这就是我们这一篇要介绍的事情。 　　如果你还不熟悉SQL注入的流程 ...

1. 首先要了解SQL注入的原理： SQL Injection：就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。 具体来说，它是利用现有应用程序，将（恶意的）SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web ...