sql注入 [极客大挑战 2019]HardSQL1

打开题目

sql注入 [极客大挑战 2019]HardSQL1_第1张图片

输入1或者1",页面均回显NO,Wrong username password!!!

那我们输入1'

sql注入 [极客大挑战 2019]HardSQL1_第2张图片

试试万能密码

1' or 1=1 #

sql注入 [极客大挑战 2019]HardSQL1_第3张图片

输入1' and 1=2 #

输入1' union select 1,2,3 #

输入1' ununionion seselectlect 1,2,3 #

输入1' #

输入1'=#

页面依旧回显

sql注入 [极客大挑战 2019]HardSQL1_第4张图片

说明页面过滤了=号,空格,union

知识点:

  • 什么是xml?

XML 指可扩展标记语言,是一种很像HTML的标记语言(XML 不是 HTML 的替代),XML 的设计宗旨是传输数据,而不是显示数据。XML 标签没有被预定义。用户可以自行定义标签。XML 被设计为具有自我描述性。

  • 但xml不会对数据内容做任何事情

下面实例是 Jani 写给 Tove 的便签,存储为 XML:


Tove
Jani
Reminder
Don't forget me this weekend!

上面的这条便签具有自我描述性。它包含了发送者和接受者的信息,同时拥有标题以及消息主体。但它仍然没有做任何事情,仅仅是包装在 XML 标签中的纯粹的信息。我们需要编写软件或者程序,才能传送、接收和显示出这个文档

 xml可以让用户自定义自己的标签

  • xml和html有什么区别?

你可能感兴趣的:(sql,数据库)