我發現了很多注入密碼,錢和各種東西到其他網站的工具。如何在我的網站上手動嘗試SQL注入?
但是,我確定沒有人會對我網站上的所有表單進行操作。
所以,我想手動測試我的網站SQL注入。
什麼是在我的網站上嘗試SQL注入的好方法?
我是否需要數據庫的名稱,用戶名和密碼?我需要知道SQL端口號嗎?我如何開始?
我發現了很多注入密碼,錢和各種東西到其他網站的工具。如何在我的網站上手動嘗試SQL注入?
但是,我確定沒有人會對我網站上的所有表單進行操作。
所以,我想手動測試我的網站SQL注入。
什麼是在我的網站上嘗試SQL注入的好方法?
我是否需要數據庫的名稱,用戶名和密碼?我需要知道SQL端口號嗎?我如何開始?
這裏是一個很好的一篇關於SQL注入
看看this cheat sheet手動嘗試。 OWASP也涵蓋了theory。您應該熟悉它纔能有效地使用自動化工具。
Here是您可能使用的工具列表。
您需要檢查使用內聯sql查詢的步驟,這些查詢與用戶輸入串聯。用戶可以輸入一個完整的sql查詢,然後將其作爲子查詢執行。
檢查this也鏈接。
攻擊者不應該已經知道數據庫的密碼,但您可以假定您的表名和模式可以被猜出。
只需枚舉每個頁面所需的參數集(包括沒有表單實際鏈接的參數集和僅由隱藏參數填充的參數集),並嘗試將特殊字符(如引號)放入其中。如果在表單輸入中輸入O'Reilly
會導致異常,那麼這是一個很好的改變' OR '' == '
會導致比程序員預期的更多結果出現。