实用SQL注入备忘录。这个SQL注入备忘录包含常用的语法示例,你可以使用以下内容来执行各种SQL注入攻击。
使用以下语句可以将多个字符串拼接成一个字符串。
你可以通过以下语句截取指定偏移量的字符串,偏移量索引是从1开始的。以下示例语句返回的子字符串均为ba
。
你可以使用注释来截断一个查询,并且删除原始查询中你输入的部分。
你可以使用下面语句来确定数据库版本。获取数据库版本信息为后续攻击做好铺垫
你可以使用以下语句列出数据库中存在的表名。
你可以使用条件语句在条件为真时触发数据库错误。
你可以使用批量查询来执行多个查询语句。该技术可以配合盲注进一步攻击。
你可以使用以下语句让你的执行语句在数据库中出现时间延迟。下面语句会无条件执行10秒延迟。
你可以使用条件语句在条件为真时触发时间延迟。
你可以使数据库对一个外部域进行DNS查询。你可以使用Burp Collaborator客户端,也可以使用DNSlog。
在注入出数据库查询结果时可以配合对DNS查询将该结果携带出来。你可以使用Burp Collaborator客户端,也可以使用DNSlog。
由玄魂工作室翻译小组进行翻译的,如果有错误地方,还望指出,避免误导他人。
来自Burp Academy下的SQL injection cheet sheet,原文地址如下:
https://portswigger.net/web-security/sql-injection/cheat-sheet