最近在学习代码审计,于是发现了这篇文章,然后转过来学习学习, 并稍加了修改
也不知道这位大哥转的谁的文章,也没有附上原文链接,
转发地址:https://blog.csdn.net/ncafei/article/details/62044552
简介:
本文将要揭示能用于现实CMSs和WAFs程序中的高级绕过技术和混淆技术,
文中所提到的SQL注入语句仅仅是一些绕过保护的方法,
另外本文所有内容仅可用于安全研究,如有其它不正当的行为,后果自负...
SQL注入-绕过
整理下关于SQL注入绕过的一些姿势。欢迎大牛补充 !^—^!
0x01 绕过waf思路
从第一步起,一点一点去分析,然后绕过。
过滤 and,or
1
2
3
preg_match('/(and|or)/i', $id)
Filtered injection: 1 or 1 = 1 1 and 1 = 1
Bypassed injection: 1 || 1 = 1 1 && 1 = 1
过滤 and, or, union
1
2
3
preg_match('/(and|or|union)/i', $id)
Filtered injection: union select user...