Sqli-labs靶场第11关详解[Sqli-labs-less-11]

Sqli-labs-Less-11Sqli-labs靶场第11关详解[Sqli-labs-less-11]_第1张图片
前言:
SQL注入的三个条件:
①参数可控;(从参数输入就知道参数可控)
②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)
③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)

利用 order by 来测列数

    测显位:mysql用1,2,3,4

Mysql获取相关数据:

    一、数据库版本-看是否认符合information_schema查询-version()
    二、数据库用户-看是否符合root型注入攻击-user()
    三、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os
    四、数据库名字-为后期猜解指定数据库下的表,列做准备-database()

SQL

你可能感兴趣的:(sqli-labs,数据库,web安全,网络安全,mysql,sql)