如何判断是不是存在SQL注入以及注入类型?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何判断是不是存在SQL注入以及注入类型?相关的知识,希望对你有一定的参考价值。

小白我正在学习SQL注入,关于SQL注入有一些疑问,即一个网页形如xxx/xxx/,在路径中并无id,sort等可供判断的值,那么,在不知道源码的情况下,我们怎样去判断是否存在注入,以及是普通注入抑或是orderby注入,是要一遍遍重复构造形如?id=xxx或者?sort=xxx
这样吗?

许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。如何判断网站是否存在POST注入呢!请看以下步骤操作做。
POST注入操作介绍:
1.POST注入一般发生在表单数据传输时、抓取POST提交的数据进行SQL语句测试
POST注入操作流程:
比如抓取的POST数据为:userName=admin&password=admin
测试诸如语句填写:userName=admin&password='admin 1=1--
像这样userName 参数后面加一些SQL语句(注入测试语句)进行POST数据注入测试即可。

 参考技术A 许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。如何判断网站是否存在POST注入呢!请看以下步骤操作做。
POST注入操作介绍:
1.POST注入一般发生在表单数据传输时、抓取POST提交的数据进行SQL语句测试
POST注入操作流程:
比如抓取的POST数据为:userName=admin&password=admin
测试诸如语句填写:userName=admin&password='admin 1=1--
像这样userName 参数后面加一些SQL语句(注入测试语句)进行POST数据注入测试即可。

以上是关于如何判断是不是存在SQL注入以及注入类型?的主要内容,如果未能解决你的问题,请参考以下文章

什么是sql盲注

Sql注入之注入点类型和是否存在注入判断

sql注入学习基于布尔 SQL 盲注

SQL注入多试试总会有的

关于sql手动注入

求教谁给讲讲SQL注入攻击的步骤