记一次sql注入---绕过他们的规则吧!
规则就是用来打破的!!!今天,逛靶场的时候发现一个会过滤的靶场。那就让我们来看看吧。先分析源码很明显这里面过滤了—和#。同时,这又是个字符串,所以我们的注释方法需要进行更改。在我试过|| ‘ 和 ASCII码转意等等的方法,最后得出了;%00进行桡过。先通过and 1=1 和 and 1=2来看看这个绕过方法。会发现存在注入点,先使用order by来判断列数。在7的时候报错,证明在有6列
1