SQL注入之——伪静态注入

1.什么是伪静态注入?

答:“伪静态”顾名思义就是一种表面上看似是静态网页(以.html、.htm等结尾),不存在任何的数据交互,却其实是动态网页,存在数据交互的网站,具有这种特性的网页成为“伪静态网页”。我们看到的伪静态网页其实是经过处理的,将动态网页的id等参数通过URL重写来隐藏,让查看者以为是静态网页。展示出来的是以html一类的静态页面形式,但其实是用PHP一类的动态脚本来处理的。

2.如何辨别伪静态注入的网站?

伪静态一般URL地址格式
 1. http://test.com/php100/id/1/1
 2. http://test.com/php100/id/1.html
非伪静态一般URL地址格式:
 1. http://test.com/php100/test.php?id=1

 伪静态是一种URL重写的技术,从而达到隐藏传递的参数以及从而达到防止SQL注入的目的。
如果看到一个以.html或者.htm结尾的网页,此时可以通过在控制台(F12或者Fn+F12)中输入:

           javascript:alert(document.lastModified)

来得到网页最后的修改时间,如果得到的时间和现在时间一致,此页面就是伪静态,反之是真静态;因为动态页面的最后修改时间总是当前时间,而静态页面的最后修改时间则是它生成的时间。

你可能感兴趣的:(web安全学习,#,sql注入,sql注入)