后面的注入过程与Union注入的一致。
编码绕过注入
如果发现关键字and被拦截,可以尝试使用URL全编码的方式绕过拦截。由于服务器会自动对URL进行一次URL解码,所以需要把被拦截的关键字编码两次。这里需要注意的是,URL编码需选择全编码,而不是普通的URL编码。关键字and进行两次URL全编码的结果是%25%36%31%25%36%65%25%36%34。
内联注释绕过注入
内联注释绕过即将被拦截的关键字写在注释中,通过内敛的写法执行完整语句,例如id=1 /*!and*/ 1=1。
SQL注入修复建议
常用的SQL注入漏洞修复建议有两种。
过滤危险字符
多数CMS都采用过滤危险字符的方式,例如,采用正则表达式匹配union、sleep、load_file等关键字,如果匹配到,则退出程序。
使用预编译语句
使用PDO预编译语句,需要注意的是,不要将变量直接拼接到PDO语句中,而是使用占位符进行数据库的增加、删除、修改、查询。
以上就是Web网络安全分析SQL注入绕过技术原理的详细内容,更多关于Web网络安全SQL注入绕过技术的资料请关注其它相关文章!
更多SQL内容来自木庄网络博客