我有一个包含sql注入漏洞的网站,但我可以利用它,只是因为网络服务器的一些过滤。
所以我有一个有效载荷订单4 来查找列但我找不到。我不知道发生了什么,但是当我使用这个有效载荷时,它可以工作 '按4 - + 顺序执行此有效负载时,我得到列错误。
那么第二个会发生什么?主要的疑问是 - +的工作是什么?为什么有必要在第二个有效载荷中放一个tick(')?
答案 0 :(得分:1)
我认为sql中的--意味着:评论什么是转发。
你应该使用'不要在注射时获得 sql语法错误并查看结果。
如果您使用 PHP ,请查看The Documentation。希望它可以帮到你。
祝你好运