鍍金池/ 問(wèn)答/Linux  數(shù)據(jù)庫(kù)  網(wǎng)絡(luò)安全/ sql注入select被攔截如何繞過(guò)?

sql注入select被攔截如何繞過(guò)?

只要我在一串字符串中含有select(無(wú)論大小寫,字母是否使用百分號(hào)編碼),請(qǐng)求就會(huì)被攔截。
如sdfe%53eLECtxdf這串字符,含有%53eLECt也不行,請(qǐng)問(wèn)有什么繞過(guò)方法?網(wǎng)上有說(shuō)sele/**/ct這種方式可以繞過(guò)一些攔截,這不是會(huì)出錯(cuò)嗎?求教
數(shù)據(jù)庫(kù)=mysql 5.5

回答
編輯回答
冷咖啡

似乎這種語(yǔ)法實(shí)踐中行不通,(或許是版本限制),不過(guò)你說(shuō)的//可以繞過(guò)空格或者當(dāng)注釋符,你可以用/!/內(nèi)聯(lián)注釋,像這種測(cè)試你都可以本地執(zhí)行你的注入語(yǔ)句
從網(wǎng)上匯集的一些姿勢(shì)不知能不能幫到你

2017年1月29日 17:21
編輯回答
鹿惑

好像是用ids做的攔截,最后是用%00截?cái)鄼z測(cè)了。。。奇怪,之前試過(guò)明明不行的。。。

2017年12月29日 09:02