视频地址:https://www.youtube.com/watch?v=kGE7PfCJlv0&list=PLwDQt7s1o9J6vKkkYfcCqBCs0d4gZ3yWB&index=13
常见的几种注入
1.基于错误的注入
我们同样拿上面那个web界面做测试
我们注入一个单引号,然后提交就会报错(这里说明有注入点)
2.基于布尔的注入(–是注释语句 前面单引号是闭合前面的)
3.基于union注入
我们通过下面这个语句获取到数据库的信息和用户信息
我们把所有的库和表都获取出来(前面是数据库的库名后面是表名)
或者我们把user里面的所有列都获取出来
这里我们获取到了user表里面所有的列的名字
我们把用户名和密码给查出来
如果我们想要多个字段,我们可以拼接(这里我们把first_name,last_name,user这几个字段的值拼接到一起了)
4.基于时间的盲注
这里我们直接输入’系统不会提示报错,但是我们可以通过盲注来判断(如果发现系统需要一段时间返回结果就说明存在注入点)
