R1w Asked: 2018-07-26 01:25:42 +0800 CST2018-07-26 01:25:42 +0800 CST 2018-07-26 01:25:42 +0800 CST 为什么大多数 Sql 注入需要这样的 url "index.asp?id=123" 772 我正在尝试学习“SQL 注入”概念并尝试练习一些 Kali 工具来学习,但有一个问题我不明白,我的问题是为什么大多数工具需要以“AAA.BBB?id”结尾的 URL =000" 作为注入的输入字符串。 sql-server sql-injection 1 个回答 Voted Best Answer Scott Hodgin - Retired 2018-07-26T01:38:35+08:002018-07-26T01:38:35+08:00 当您看到具有这种语法id=123的 URL 时,底层代码很可能会使用123作为某种动态 SQL 语句的输入。除非底层代码是为了防止SQL注入而编写的,否则你可以通过简单地直接在浏览器窗口中向url添加额外信息来从数据库中获取额外信息(或造成危害)。 看看SQL 注入演练 什么是 SQL 注入? 可能通过网页将 SQL 查询/命令作为输入注入是一种技巧。许多网页从网络用户那里获取参数,并向数据库进行SQL查询。例如,当用户登录时,网页显示用户名和密码,并对数据库进行 SQL 查询以检查用户名和密码是否有效。使用 SQL 注入,我们可以发送精心设计的用户名和/或密码字段,这将更改 SQL 查询,从而授予我们其他东西。 你需要什么? 任何网络浏览器。 尝试特别寻找带有参数的 URL,例如: http://duck/index.asp?id=10 在我上面引用的帖子中有很多 SQL 注入的例子。
当您看到具有这种语法id=123的 URL 时,底层代码很可能会使用123作为某种动态 SQL 语句的输入。除非底层代码是为了防止SQL注入而编写的,否则你可以通过简单地直接在浏览器窗口中向url添加额外信息来从数据库中获取额外信息(或造成危害)。
看看SQL 注入演练
什么是 SQL 注入? 可能通过网页将 SQL 查询/命令作为输入注入是一种技巧。许多网页从网络用户那里获取参数,并向数据库进行SQL查询。例如,当用户登录时,网页显示用户名和密码,并对数据库进行 SQL 查询以检查用户名和密码是否有效。使用 SQL 注入,我们可以发送精心设计的用户名和/或密码字段,这将更改 SQL 查询,从而授予我们其他东西。
你需要什么? 任何网络浏览器。
尝试特别寻找带有参数的 URL,例如:
http://duck/index.asp?id=10
在我上面引用的帖子中有很多 SQL 注入的例子。