我发现了很多注入密码,钱和各种东西到其他网站的工具。如何在我的网站上手动尝试SQL注入?
但是,我确定没有人会对我网站上的所有表单进行操作。
所以,我想手动测试我的网站SQL注入。
什么是在我的网站上尝试SQL注入的好方法?
我是否需要数据库的名称,用户名和密码?我需要知道SQL端口号吗?我如何开始?
我发现了很多注入密码,钱和各种东西到其他网站的工具。如何在我的网站上手动尝试SQL注入?
但是,我确定没有人会对我网站上的所有表单进行操作。
所以,我想手动测试我的网站SQL注入。
什么是在我的网站上尝试SQL注入的好方法?
我是否需要数据库的名称,用户名和密码?我需要知道SQL端口号吗?我如何开始?
这里是一个很好的一篇关于SQL注入
看看this cheat sheet手动尝试。 OWASP也涵盖了theory。您应该熟悉它才能有效地使用自动化工具。
Here是您可能使用的工具列表。
您需要检查使用内联sql查询的步骤,这些查询与用户输入串联。用户可以输入一个完整的sql查询,然后将其作为子查询执行。
检查this也链接。
攻击者不应该已经知道数据库的密码,但您可以假定您的表名和模式可以被猜出。
只需枚举每个页面所需的参数集(包括没有表单实际链接的参数集和仅由隐藏参数填充的参数集),并尝试将特殊字符(如引号)放入其中。如果在表单输入中输入O'Reilly
会导致异常,那么这是一个很好的改变' OR '' == '
会导致比程序员预期的更多结果出现。