前言

在真实 SQL 注入安全测试中，我们一定要先明确提交数据及提交方 法后再进行注入，其中提交数据类型和提交方法可以通过抓包分析获取， 后续安全测试中我们也必须满足同等的操作才能进行注入。

知识点

简要明确参数类型

数字，字符，搜索，JSON 等

字符要加单引号' 数字不用加格式

sql中搜索中会有% 注入时要闭合单引号'和%

其中 SQL 语句干扰符号：',",%,),}等，具体需看写法

简要明确请求方法

GET,POST,REQUEST,HTTP 头,COOKIE等

get提交方法：?get=1 post提交方法：hackbar工具中 postdata cookie提交方法：cookie： request 全部接受 get post提交方式都接受

server：$_server[''] atp头部注入

json注入：

{
  'user':'sec0nd'
  'pass':'123456'
}

案例演示

• • 参数字符型注入测试=>sqlilabs less 5 6
• • POST 数据提交注入测试=>sqlilabs less 11
• • 参数 JSON 数据注入测试=>本地环境代码演示
• • COOKIE 数据提交注入测试=>sqlilabs less 20
• • HTTP 头部参数数据注入测试=>sqlilabs less 18