可数的
复杂输入
第三人称单数输入
现在分词输入
输入的过去式
输入的过去分词
输入信号
输入信号
输入法
输入法;输入法;输入模式
输入电压
输入电压
输入功率
输入功率;输入电源
输入阻抗
输入阻抗
输入栏
输入栏
输入系统
输入系统;输入系统;信息输入系统
高输入
高投入;高投入;高额投资
sql注入是指web应用不判断用户输入数据的合法性或者过滤不严格。攻击者可以在web应用中预定义查询语句的末尾添加额外的sql语句,在管理员不知情的情况下实现非法操作,从而欺骗数据库服务器进行未经授权的任意查询,进而获取相应的数据信息。
1.基于布尔的盲注
因为web的页面返回值是真还是假,布尔盲注是一种注入后根据页面返回值获取数据库信息的。?[1]?
2.基于时间的盲注
当dambre注入没有结果时(页面显示正常),我们很难判断注入的代码是否已经执行,或者注入点到底有没有?这时,布尔注入可以发挥不了它的作用。基于时间的盲注应运而生。所谓基于时间的盲注,就是我们根据相应的时间差来判断一个网页上是否存在sql注入点。?[1]?
3.联合查询注入
使用联合查询进行注入的前提是我们要注入的页面必须有显示位。所谓联合查询注入,就是用union合并两个或多个select语句的结果集,所以两个或多个select必须有相同的列,并且每个列的数据类型相同。联合查询注入可以在链接末尾加9的顺序,根据页面的返回结果判断站点中字段的个数。?[1]?
4.基于错误信息的注入
这个方法只能在页面上没有显示位,但是echomysql_error()函数输出错误消息的情况下使用。优点是注射速度快,缺点是句子比较复杂,只能靠极限依次猜。一般来说,错误注入其实是一种公式化的注入方法,主要用在页面中没有显示位,但是用echomysql_error()输出一条错误消息的时候。
