SQL i 攻击者在web表单或者页面请求的查询字符串中通过查询的字符串恶意的注入SQl命令,从而使数据库执行恶意的SQl语句
1验证web存在SQL漏洞
2寻找注入点
2.1web页面某个表单的输入框里
2.2web页面的URL查询(带参数的URl)
3构造攻击的SQL语句
4通过注入点提交构造的攻击语句,构造的SQL在数据库执行
5通过web页面返回数据,提取分析我们想要的数据信息
注入点类型的判断
字符型 ‘1’=’1’ 数字型 1=1 探索型 like’%1%’
相关文章: