SQL注入的资料,同学们可以看看
今天上课和同学们讲了一些SQL注入入侵的知识,提供一份资料大家看看。 有兴趣大家去一些黑客网站看看也不错呵呵
http://www.heibai.net/ http://zhidao.baidu.com/question/7273312.html
为什么and 1=1,1=2就能判断能否SQL注入呢?
悬赏分:20 - 解决时间:2006-5-23 00:25
判断一个网站能否SQL注入时,网上的文章都推荐用经典的and 1=1,and 1=2方法,根据返回的页面结果来判断.
为什么说这两个语句就能判断呢?
是不是看and有没有被过滤掉?
提问者: royyyb - 秀才 三级
最佳答案
一般用于“传值是数字型”的情况下,如果网站没有对传值进行判断是否为数字型,则就会构造为类似Sql语句:
select * from where id=1 or 1=1
看一下上面的sql语句,发见了吧,会查询出全部记录的:)
回答者:kaijier - 助理 二级 5-14 18:39 老师能不能上课时举个例子演示一下啊?这种实用的测试技术正是我们想学的东西 课上过了,好的,以后我会注意给大家一些演示的例子。
那天上课不小心拖了一个小时,很不好意思再拖了,呵呵。
页:
[1]
