如何判斷網(wǎng)站是否有SQL注入漏洞并利用它進(jìn)行攻擊呢？一般來說，SQL注入漏洞分為數(shù)字型和字符型基于布爾的盲注記。通常，攻擊者會(huì)在目標(biāo)URL中嵌入一個(gè)引號(hào)，以檢查是否返回錯(cuò)誤消息，從而確定是否可以執(zhí)行S

如何判斷網(wǎng)站是否有SQL注入漏洞并利用它進(jìn)行攻擊呢？

一般來說，SQL注入漏洞分為數(shù)字型和字符型

基于布爾的盲注記。通常，攻擊者會(huì)在目標(biāo)URL中嵌入一個(gè)引號(hào)，以檢查是否返回錯(cuò)誤消息，從而確定是否可以執(zhí)行SQL攻擊。在URL=2之后，可以分別輸入1=1和1=1。如果頁面分別顯示normal和error，則存在注入點(diǎn)。請(qǐng)記住，SQL注入的目的是獲取數(shù)據(jù)庫數(shù)據(jù)，因此SQL注入點(diǎn)通常存在于登錄頁、搜索頁或添加頁中，用戶可以在其中查找或修改數(shù)據(jù)。

以上都是手動(dòng)注射，也可以抓取工具進(jìn)行注射，最好用的應(yīng)該是sqlmap