当前位置：首页 > news >正文

网安入门09-Sql注入（绕过方法梳理）

news 2026/1/30 13:53:14

ByPass

SQL注入ByPass是指攻击者通过各种手段绕过应用程序中已经实施的SQL注入防御措施，例如输入恶意数据、修改请求头等方式，绕过过滤、转义、限制等操作，从而成功地执行恶意SQL语句。攻击者使用SQL注入ByPass技术可以让应用程序的防御措施失效，使得SQL注入攻击成功。因此，防范SQL注入攻击需要采取综合的安全措施，包括正确的SQL语句编写、使用参数化查询、限制用户输入、过滤和转义特殊字符等。

绕过空格

替换	说明
/**/	内联注释符
%a0	URL编码
%09	php里会被当作Tab键
%0a	php里会被当作换行键
()	括号
`+`	加号

绕过引号`"` table_name=“users”

使用16进制编码

Hex编码/解码 - 107000
使用拼接字符串
例如将"username"替换为'username'+' '

绕过逗号`,` Substr(database(),1,1)

用from，for绕过 select substr(database() from 1 for 1);

另外，如果substr被过滤，可以用mid()来代替, 还可以用right()，left()

绕过大于号小于号`><` ascill(substr(database(),0,1))>

用greatest()，least() 绕过（前者返回最大值，后者返回最小值）
greatest(ascill(substr(database(),0,1)),64)=64
或者用between a and z来返回a与z之间的数据不包括z

绕过注释符 # --+ – -

%23 （#的URL编码）
或者通过闭合后面的引号来进行绕过
id=1' union select 1,2,'3
id=1' or '1'='1

绕过等于号 =

使用大于号小于号
like MySQL里的模糊查询
rlike
regexp 正则表达式

绕过 union select where 关键字

例如 sqlilabs less25

双写绕过 uniunionon
U//NION//SE/**/LECT （成功率较低）
大小写绕过 UniOn aNd

网安入门09-Sql注入（绕过方法梳理）

ByPass SQL注入ByPass是指攻击者通过各种手段绕过应用程序中已经实施的SQL注入防御措施，例如输入恶意数据、修改请求头等方式，绕过过滤、转义、限制等操作，从而成功地执行恶意SQL语句。攻击者使用SQL注入ByPass技术可以让应用程序的防御措施…...

编程日记 2024/1/7 12:18:07

本地计算机上的 My5OL808 服务启动后停止，某些服务在未由其他服务或程序使用时将自动停止

客户反馈说mysql启动不了，报错信息： 本地计算机上的 My5OL808 服务启动后停止，某些服务在未由其他服务或程序使用时将自动停止。查了不少资料，最后分析问题是这样的，手动或者重复安装mysql时，创建了多个…...

编程日记 2024/1/7 12:17:05

2023机器人行业总结，2024机器人崛起元年（具身智能）

2023总结： 1.Chatgpt引爆了通用人工智能，最大的受益者或是机器人，2023年最热门的创业赛道便是人形机器人，优必选更是成为人形机器人上市第一股， 可以说2023年是机器人开启智能化的元年，而2024则将成为机器…...

编程日记 2024/1/7 12:16:05

_. ok : interface{}(a).(B)此语句用于判断对象a是否是B类型也可以判断对象a是否实现了B接口 package mainimport "fmt"type Pet interface {SetName(name string)Name() stringCategory() string } type Dog struct {name string }func (dog *Dog) SetName(name …...

编程日记 2024/1/7 12:15:04

java基于ssm的房源管理系统+vue论文

目录目录 I 摘要 III ABSTRACT IV 1 绪论 1 1.1 课题背景 1 1.2 研究现状 1 1.3 研究内容 2 2 系统开发环境 3 2.1 vue技术 3 2.2 JAVA技术 3 2.3 MYSQL数据库 3 2.4 B/S结构 4 2.5 SSM框架技术 4 3 系统分析 5 3.1 可行性分析 5 3.1.1 技术可行性 5 3.1.2 操作可行性 5 3…...

编程日记 2024/1/7 12:14:03

RH850P1X芯片学习笔记-A/D Converter (ADCF)

文章目录 Features of RH850/P1x-C ADCFNumber of UnitsRegister Base AddressClock SupplyInterrupts and DMAHardware ResetExternal Input/Output SignalsVirtual Channel OverviewFunctional OverviewBlock DiagramPhysical Channels, Virtual Channels and Scan Groups Re…...

编程日记 2024/1/7 12:12:01

38 调优kafka

操作系统调优 1.禁止atime更新，减少文件系统的写操作。 mount -o noatime 2.选择高性能的文件系统，如ext4或者XFS 3.swap空间设置，将swappniness设置成很小的一个值比如1～10，防止linux OOM Killer 开启随意杀掉进程。…...

编程日记 2024/1/7 12:09:59

java推荐系统：好友推荐思路

1.表的设计表里面就两个字段，一个字段是用户id，另外一个字段是好友id，假如A跟B互为好友，那在数据库里面就会有两条数据 2.推荐好友思路上面的图的意思是：h跟a的互为好友，a跟b，c&am…...

编程日记 2024/1/7 12:07:57

java: 写入数据到HBase

一、添加依赖 <dependency><groupId>org.apache.hadoop</groupId><artifactId>hadoop-client</artifactId><version>2.6.0</version></dependency><dependency><groupId>org.apache.hbase</groupId><art…...

编程日记 2024/1/7 12:06:56

机器学习-基于Word2vec搜狐新闻文本分类实验

机器学习-基于Word2vec搜狐新闻文本分类实验实验介绍 Word2vec是一群用来产生词向量的相关模型，由Google公司在2013年开放。Word2vec可以根据给定的语料库，通过优化后的训练模型快速有效地将一个词语表达成向量形式，为自然语言处理领域的应…...

编程日记 2024/1/7 12:00:51

5.vue学习笔记(数组变化的侦测+计算属性+Class绑定)

文章目录 1.数组变化的侦测1.1.变更方法1.2.替换一个数组 2.计算属性计算属性缓存vs方法 3.Class绑定3.1.绑定对象3.2.多个对象的绑定形式3.3.绑定数组3.4.数组与对象 1.数组变化的侦测 1.1.变更方法 vue能够侦听响应式数组的变更方法，并在它们被调用时出发相关的…...

编程日记 2024/1/7 11:59:50

Java十种经典排序算法详解与应用

数组的排序前言排序概念排序是将一组数据，依据指定的顺序进行排列的过程。排序是算法中的一部分，也叫排序算法。算法处理数据，而数据的处理最好是要找到他们的规律，这个规律中有很大一部分就是要进行排序，所以需…...

编程日记 2024/1/7 11:58:49

git常用命令及概念对比

查看日志 git config --list 查看git的配置 git status 查看暂存区和工作区的变化内容（查看工作区和暂存区有哪些修改） git log 查看当前分支的commit 记录 git log -p commitID详细查看commitID的具体内容 git log -L :funcName:fileName 查看file…...

编程日记 2024/1/7 11:56:48

57、python 环境搭建[for 计算机视觉从入门到调优项目]

从本节开始，进入到代码实战部分，在开始之前，先简单进行一下说明。代码实战部分，我会默认大家有一定的编程基础，不需要对编程很精通，但是至少要会 python 的基础语法、python 环境搭建、pip 的使用；C++ 要熟悉基础知识和基础语法，会根据文章中的步骤完成 C++ 的环境搭…...

编程日记 2024/1/7 11:54:46

K8S-应用访问

1 service对象定位 2 Service 实践手工创建Service 根据应用部署资源对象，创建SVC对象 kubectl expose deployment nginx --port80 --typeNodePortyaml方式创建Service nginx-web的service资源清单文件 apiVersion: v1 kind: Service metadata:name: sswang-ngi…...

编程日记 2024/1/7 11:53:45

商智C店H5性能优化实战

前言商智C店，是依托移动低码能力搭建的一个应用，产品面向B端商家。随着应用体量持续增大，考虑产品定位及用户体验，我们针对性能较差页面做了一次优化，并取得了不错的效果，用户体验值（UEI&…...

编程日记 2024/1/7 11:52:44

Unity 使用 Plastic 同步后，正常工程出现错误

class Newtonsoft.Json.Linq.JToken e CS0433:类型"JToken"同时存在于"Newtonsoft.Json.Net20,Version3.5.0.0,Cultureneutral,,PublicKeyToken30ad4fe6b2a6aeed"和"Newtonsoft.Json, Version12.0.0.0,Cultureneutral,PublicKeyToken30ad4fe6b2a6aeed…...

编程日记 2024/1/7 11:51:43

详细设计文档该怎么写

详细设计文档是软件开发过程中的一个关键阶段，它为每个软件模块的实现提供了详细说明。这份文档通常在概要设计阶段之后编写，目的是指导开发人员如何具体实现软件的功能。以下是撰写详细设计文档的步骤和一些示例： 步骤和组成部分引言目的…...

编程日记 2024/1/7 11:49:42

集团企业OA办公协同平台建设方案

一、企业对协同应用的需求分析实现OA最核心、最基础的应用业务流转：收/发文、汇报、合同等各种审批事项的业务协作与办理信息共享：规章制度、业务资料、共享信息资源集中存储、统一管理沟通管理：电子邮件、手机短信、通讯录、会议协作等…...

编程日记 2024/1/7 11:47:40

Spring Security之认证

系列文章目录提示：这里可以添加系列文章的所有文章的目录，目录需要自己手动添加 Spring Security之认证提示：写完文章后，目录可以自动生成，如何生成可参考右边的帮助文档文章目录系列文章目录前言一、什么是Spring…...

编程日记 2024/1/7 11:46:39

阿里云ACP云计算备考笔记 (5)——弹性伸缩

目录第一章概述第二章弹性伸缩简介 1、弹性伸缩 2、垂直伸缩 3、优势 4、应用场景 ① 无规律的业务量波动 ② 有规律的业务量波动 ③ 无明显业务量波动 ④ 混合型业务 ⑤ 消息通知 ⑥ 生命周期挂钩 ⑦ 自定义方式 ⑧ 滚的升级 5、使用限制第三章主要定义 …...

编程新知 2026/1/22 6:07:24

华为OD机试-食堂供餐-二分法

import java.util.Arrays; import java.util.Scanner;public class DemoTest3 {public static void main(String[] args) {Scanner in new Scanner(System.in);// 注意 hasNext 和 hasNextLine 的区别while (in.hasNextLine()) { // 注意 while 处理多个 caseint a in.nextIn…...

编程新知 2026/1/28 11:11:03