我正在学习these walkthrough之后的SQL注入。地址栏如下所示:
https://redtiger.labs.overthewire.org/level3.php?usr=MDQyMjExMDE0MTgyMTQ
第一步是通过更改此变量的值来生成错误:
https://redtiger.labs.overthewire.org//hackit/level3.php?usr\[\]=
我没有网络编程经验,但我知道如何在地址行中发送表单值。但是,页面源不包含usr变量。这是什么?
答案 0 :(得分:0)
请求的实际网址位于$_SERVER['REQUEST_URI']
查询字符串参数将在$_GET中找到...在这种情况下,请查看$_GET['usr']
这些值通常会在表单提交后生成。在第二种情况下,使用name属性usr或多个名为usr[]的元素在页面上查找输入元素。这将允许多个条目以阵列服务器端结束。