[讨论]php网址后面加个单引号返回语法错误，这页面是否是注入点？-WEB安全-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 2 楼卧槽。。表名都暴露了。。。。。。。。。。。。。。。。 2014-2-24 09:50 0
旧信纸雪币： 50 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 178 粉丝 1 关注私信	旧信纸 3 楼我靠，底裤都侧漏了。 2014-2-24 11:01 0
siluplsy 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	siluplsy 4 楼给点思路或提示好不好嘛 2014-2-25 16:36 0
siluplsy 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	siluplsy 5 楼这是后台登录 Error page: /admin/login.php Error infos: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''\' limit 0,1' at line 1 Error sql: Select admin.*,atype.purviews From `kx_admin` admin left join `kx_admintype` atype on atype.rank=admin.usertype where admin.userid like '\' limit 0,1 怎样爆出管理员账号密码呢 2014-2-25 16:38 0
aimer 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	aimer 6 楼 kx_book 表名.... 2014-4-1 23:48 0
holyghost 雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 0 关注私信	holyghost 7 楼暴露就暴露呗，有啥大不了的。你们都没见过数据库还是怎么的？ 2016-3-15 11:46 0
wljlwyq 雪币： 21 活跃值： (78) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	wljlwyq 8 楼楼主搞web多久了 2016-3-16 10:45 0
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 177 粉丝 0 关注私信	wjzhhr 9 楼我也想知道答案，楼主，搞定了没有。说下后续呀。 2016-4-6 18:54 0
lao龚雪币： 92 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	lao龚 10 楼很正常吧 2016-4-27 14:41 0
海学雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	海学 11 楼有后续了没 2016-4-27 15:51 0
王当abcd 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	王当abcd 12 楼丢sqlmap去跑一下不就行了 2016-8-22 18:28 0
litintin 雪币： 547 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 90 粉丝 0 关注私信	litintin 13 楼自动化工具那么多，穿山甲也可以 2016-8-22 21:54 0
iheartbeat 雪币： 16 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	iheartbeat 14 楼 sql注入.我觉得程序有与数据库发生交互的地方都有可能出现sql注入漏洞。判断是否是注入?其实就是我们通过提交某些字符让返回的数据发生变化,而我们做的就是通过这些变化来判断某个参考或者说某个点是否存在sql的注入漏洞。比如替换返回内容(union 联合查询) 根据语法错误提示(error 报错注入) 是否返回数据或者对于数据库角度就是语法是否成功执行(bool布尔型的盲注)、利用数据库或语法的特性延长执行时间(基于时间的盲注) ........ 这主要还是要看程序本身是怎么写的。最好了解对应的数据库知识,然后balabala多看多练小菜理解,若有错误的地方请大牛指正 2016-8-23 13:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 2 楼卧槽。。表名都暴露了。。。。。。。。。。。。。。。。 2014-2-24 09:50 0
旧信纸雪币： 50 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 178 粉丝 1 关注私信	旧信纸 3 楼我靠，底裤都侧漏了。 2014-2-24 11:01 0
siluplsy 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	siluplsy 4 楼给点思路或提示好不好嘛 2014-2-25 16:36 0
siluplsy 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	siluplsy 5 楼这是后台登录 Error page: /admin/login.php Error infos: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''\' limit 0,1' at line 1 Error sql: Select admin.*,atype.purviews From `kx_admin` admin left join `kx_admintype` atype on atype.rank=admin.usertype where admin.userid like '\' limit 0,1 怎样爆出管理员账号密码呢 2014-2-25 16:38 0
aimer 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	aimer 6 楼 kx_book 表名.... 2014-4-1 23:48 0
holyghost 雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 0 关注私信	holyghost 7 楼暴露就暴露呗，有啥大不了的。你们都没见过数据库还是怎么的？ 2016-3-15 11:46 0
wljlwyq 雪币： 21 活跃值： (78) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	wljlwyq 8 楼楼主搞web多久了 2016-3-16 10:45 0
wjzhhr 雪币： 230 活跃值： (429) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 177 粉丝 0 关注私信	wjzhhr 9 楼我也想知道答案，楼主，搞定了没有。说下后续呀。 2016-4-6 18:54 0
lao龚雪币： 92 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	lao龚 10 楼很正常吧 2016-4-27 14:41 0
海学雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	海学 11 楼有后续了没 2016-4-27 15:51 0
王当abcd 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	王当abcd 12 楼丢sqlmap去跑一下不就行了 2016-8-22 18:28 0
litintin 雪币： 547 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 90 粉丝 0 关注私信	litintin 13 楼自动化工具那么多，穿山甲也可以 2016-8-22 21:54 0
iheartbeat 雪币： 16 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	iheartbeat 14 楼 sql注入.我觉得程序有与数据库发生交互的地方都有可能出现sql注入漏洞。判断是否是注入?其实就是我们通过提交某些字符让返回的数据发生变化,而我们做的就是通过这些变化来判断某个参考或者说某个点是否存在sql的注入漏洞。比如替换返回内容(union 联合查询) 根据语法错误提示(error 报错注入) 是否返回数据或者对于数据库角度就是语法是否成功执行(bool布尔型的盲注)、利用数据库或语法的特性延长执行时间(基于时间的盲注) ........ 这主要还是要看程序本身是怎么写的。最好了解对应的数据库知识,然后balabala多看多练小菜理解,若有错误的地方请大牛指正 2016-8-23 13:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复