2018Web攻防训练营绕过剔除and和or的SQL注入1.基础知识介绍2.去除and和or的代码分析3.绕过去除and和or的SQL注入4.Sqlmap安全检测课程内容01基础知识介绍Mysql基础知识介绍1、Mysql中的大小写不敏感,大写与小写一样。2、Mysql中的十六进制与URL编码。3、符号和关键字替换and--&&、or--||。4、内联注释与多行注释/*!内联注释*//*多行注释*/。02去除and和or的代码分析返回Whois信息preg_replace(mixed$pattern,mixed$replacement,mixed$subject):执行一个正则表达式的搜索和替换。$pattern:要搜索的模式,可以是字符串或一个字符串数组$replacement:用于替换的字符串或字符串数组。$subject:要搜索替换的目标字符串或字符串数组。03绕过去除and和or的SQL注入Sqli-Lab25绕过策略1、大小写变形,Or,OR,oR,OR,And,ANd,aND等--代码中大小写不敏感都被剔除2、在这两个敏感词汇中添加注释,例如:a/**/nd双写绕过oorr3、利用符号替代————and--&&or--||04Sqlmap安全测试Sqlmap安全检测sqlmap-u“URL”--dbs--batch1.基础知识介绍2.去除and和or的代码分析3.绕过去除and和or的SQL注入4.Sqlmap安全检测总结再见欢迎关注Web安全训练营课程
