我正在研究安全性和道德黑客。而且我已经注意到,大多数sql注入攻击都使用“'\”(如果我过滤掉了这些,是否可以工作?
答案 0 :(得分:0)
大多数SQL注入示例都使用;DROP TABLE students有效负载,这在许多软件设置中都不是问题。这只是一个例子。
您犯了一个非常常见的错误,将注入(可能性将不需要的代码注入SQL查询)与漏洞利用(实际有效载荷)混淆了。旨在闯入系统)
这是两个完全不同的问题。
因此,注射只是一种可能。与任何字符无关。一旦进行了注入,则可能有无数种利用方式,这一切都取决于情况。其中一些将需要除'和\符号以外的任何内容,而另一些将需要它们。
您可以从上述陈述中得到什么? 应该保护自己免受注入,而不是利用。战斗角色是一场失败的游戏。对抗可能性。
一旦未保护应用程序免受注入攻击,就会利用一个或另一个漏洞利用一种或多种漏洞利用它进行黑客入侵。但是一旦受到保护,无论使用哪个角色,它都会立即受到保护,免受所有攻击。