时间:2004-5-5 BY:CRAZYSOULFROM:http://www.80age.net/bbs欢迎转载,但请保留版权和出处 正在无聊时,一位网友发给我一条地址,说是被过滤了空格和一些特殊符号,看看能不能用SQL注入. http://soft.xxxx.net/SoftView.Asp?SoftID=850(地址已经打了格子) 一看就知道是典型的数字型,先用'加在最后测试一下,返回出错信息:Microsoft OLE DB Provider for SQL Server 错误 可以看出是SQL服务器,再用最通用的语句来检测能否注入,即在后面加上:and 1=1(注意前面是有空格的) 没有正常返回,提示出错. 醒起网友说被过滤了空格,没问题,换成这样: /**/and/**/1=1 (把用/**/替换了空格)成功通过,页面...
查看详细内容 >>