SQL注入——UpdateXml报错注入

函数updatexml

函数updatexml(XML_document,XPath_string,new_value)包含三个参数:

第一个参数:XML_document是string格式,为XML文档对象的名称,例如Doc

第二个参数:XPath_string是路径,XPath格式的字符串

第三个参数:new_value,string格式,替换查找到的符合条件的数据

updatexml报错原理

同extractvalue(),输入错误的第二个参数,即更改路径的符号

比如:

正常句式:select updatexml(doc,'/book/author/surname','1') from xml;

错误句式:select updatexml(doc,'~book/author/surname','1') from xml;

你可能感兴趣的:(owasp十大漏洞学习,sql,数据库,java,网络安全,安全)