題目描述

　　分類列舉sql注入常用判斷方法?

　　有的童鞋說題目答案有問題的話點糾錯就好啦，或者直接把題目告訴牛妹哦~~~

　　不

　　要

　　看

　　哦

　　，

　　做

　　完

　　題

　　再

　　看

　　!

　　參考答案：

　　1.整形參數(shù)判斷

　　通常news.asp中SQL語句原貌大致如下：

　　select * from 表名 where 字段=xx，所以可以用以下步驟測試SQL注入是否存在。

　　最簡單的判斷方法

　　https://xxx/news.asp?id=xx’(附加一個單引號)，

　　1. 字符串型參數(shù)判斷

　　通常news.asp中SQL語句原貌大致如下：

　　select * from 表名 where 字段='xx'，所以可以用以下步驟測試SQL注入是否存在。

　　https://xxx/news.asp?id=xx’(附加一個單引號)，此時news.asp中的SQL語句變成了

　　select * from 表名 where 字段=xx’，news.asp運行異常;

　　https://xxx/news.asp?id=xx and '1'='1', news.asp運行正常，

　　而且與 https://www.hackbase.com/news.asp?id=xx運行結果相同;

　　https://xxx/news.asp?id=xx and '1'='2', news.asp運行異常;

　　如果以上滿足，則news.asp存在SQL注入漏洞，反之則不能注入