Web安全攻防 学习笔记
在安全意识越來越重视的情况下很多网站都在防止漏洞的发生。例如 SQL 注入中用户提交 的参数都会被代码中的某些措施进行过滤。
过滤掉用户直接提茭的参数但是对于 HTTP 头中提交的内容很有可能就没有进行过滤。
-
第三个参数:new_valueString 格式,替换查找到的符合条件的数据
-
一般我们会用
' or 1=1 --+
是得后續代码无效化从而起到闭合作用 -
但若网址做了
--+
过滤,那么这种方式也就失效了
-
先加个
\
看看是否存在注入点