我正在学习SQL注入。有时我在一些文档中读到,当在URL地址中利用时,我们必须使用unhex(hex())函数。
我的问题是,为什么我们必须使用它?
答案 0 :(得分:2)
首先,它无法帮助您进行SQL注入。如果SQL注入是不可能的,那么没有hex / unhex /任何函数都可以实现。
当站点受到非常愚蠢的保护方法(如黑名单)的保护时,它只能帮助利用现有的SQL注入,而黑名单不允许输入中的单个引号。因此,这些功能可以帮助避免使用引用或任何其他可能提醒过滤器的“恶意词”。
但老实说,我无法想象2018年开发人员使用黑名单过滤器来反对SQL注入而不是为数据准备语句/其他所有内容的白名单