SQL注入—搜索注入(本文仅供学习或参考)
实验准备:
- 皮卡丘靶场—SQL Injection—搜索型注入
实验步骤:
-
输入任意字母,以‘k’为例,进行模糊查询,查看结果:
![在这里插入图片描述](https://img-blog.csdnimg.cn/20210323203223970.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0V0aGFuMDI0,size_16,color_FFFFFF,t_70)
-
猜想数据库查询语句:
select * from table where username like ‘%k%’ ;
-
构造payload,制造闭合:k%’ or 1=1 #
![在这里插入图片描述](https://img-blog.csdnimg.cn/20210323203612919.png)
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)