51Testing软件测试论坛

标题: SQL注入的资料，同学们可以看看 [打印本页]

作者: songfun 时间: 2006-11-23 21:44
标题: SQL注入的资料，同学们可以看看
今天上课和同学们讲了一些SQL注入入侵的知识，提供一份资料大家看看。

作者: songfun 时间: 2006-11-23 21:49
有兴趣大家去一些黑客网站看看也不错
呵呵

http://www.heibai.net/

作者: songfun 时间: 2006-11-23 22:32
http://zhidao.baidu.com/question/7273312.html

为什么and 1=1,1=2就能判断能否SQL注入呢?
悬赏分：20 - 解决时间：2006-5-23 00:25
判断一个网站能否SQL注入时,网上的文章都推荐用经典的and 1=1,and 1=2方法,根据返回的页面结果来判断.
为什么说这两个语句就能判断呢?
是不是看and有没有被过滤掉?
提问者： royyyb - 秀才三级

最佳答案

一般用于“传值是数字型”的情况下，如果网站没有对传值进行判断是否为数字型，则就会构造为类似Sql语句：
select * from [table] where id=1 or 1=1
看一下上面的sql语句，发见了吧,会查询出全部记录的：）
回答者：kaijier - 助理二级 5-14 18:39

作者: tails82 时间: 2006-11-24 15:53
老师能不能上课时举个例子演示一下啊？这种实用的测试技术正是我们想学的东西

作者: songfun 时间: 2006-11-26 11:13
课上过了，好的，以后我会注意给大家一些演示的例子。
那天上课不小心拖了一个小时，很不好意思再拖了，呵呵。

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)