SQL注入 | 独自等待-信息安全博客

◆◆

百度联盟不支持HTTPS网站，所以小伙伴们又可以愉快的看文章了。
旧博客保留至不想保留为至吧，有需求的小伙可以scrapy整起来。
---===成功因为坚持，失败因为放弃！===---

当前位置：

首页 » 渗透测试 ? SQL注入

PDO防sql注入原理分析
使用pdo的预处理方式可以避免sql注入。在php手册中'PDO--预处理语句与存储过程'下的说明：很多更成熟的数据库都支持预处理语句的概念。什么是预处理语句？可以把它看作是想要运行的 SQL 的一种编译过的模板，它可以使用变量参数进行定制。预处理语句可以...
作者：独自等待 | 发布：2018年11月28日 | 分类： SQL注入 | 踩踏：31,821次 | 评论：抢沙发
标签：pdo,SQL注入,参数化查询,预编译
阅读全文

DESCRIBE注入点研究
最近审计一套代码，发现一处比较特殊的注入点，注入点位于describe后面，研究了好久不得其法，网上找了一下大牛的文章，这里转载过来学习一下。原作者：雨了个雨's blog 原标题：当表名可控的注入遇到了Describe时的几种情况 SHOW COLUMNS 之前小嘎嘎遇到...
作者：独自等待 | 发布：2018年11月26日 | 分类： SQL注入 | 踩踏：31,615次 | 评论：抢沙发
标签：describe,SQL injection,SQL注入
阅读全文

为什么参数化查询可以防止SQL注入?
昨天被某大牛问了一个问题，为什么SQL参数化查询可以防止SQL注入，参数化查询的原理是什么？结果闷逼了，之前只知道参数化查询是可以防止SQL注入，但是没有深究其原理，今天就找一些文章，学习一下，也分享给大家。以下引用知乎大神们的回答：预编译之...
作者：独自等待 | 发布：2018年3月21日 | 分类： SQL注入 | 踩踏：19,378次 | 评论：8条
标签：SQL注入,参数化查询
阅读全文

phpcmsV9.6.0注入+前台getshell
此漏洞发出来已经有段时间了，转过来给小伙伴们学习一下，文章结合漏洞时代和cnnetarmy博客内容，在此感谢。代码分析：主要的问题是phpcms\modules\member\index.php 130行到140行 //附表信息验证通过模型获取会员信息 if($member_setting['choo...
作者：独自等待 | 发布：2017年5月03日 | 分类：代码审计 | 踩踏：13,501次 | 评论：3条
标签：exp,phpcms,poc,SQL injection,SQL注入,代码审计
阅读全文

WAF绕过参考资料
最近一直被杂事所扰，没空写博客及分享东西，转点其它站点的优秀文章给大家学习一下吧。 WAF测试工具： lightbulb – 全面检测WAF bypasses：https://github.com/lightbulb-framework/lightbulb-framework OWASP Xenotix XSS 漏洞利用框架 – 有很多waf-bypa...
作者：独自等待 | 发布：2017年4月19日 | 分类：渗透测试 | 踩踏：7,566次 | 评论：2条
标签：bypass,SQL注入,waf,绕过
阅读全文

漏洞挖掘经验分享
分享点破晓团队发的漏洞挖掘经验，大家认真看，好好学习哦。以下内容转自破晓公众号，请自行关注。微信号：secbugs 因为平时工作忙，所以没有太多时间、经历去弄其他的事情，这个经验分享也算是姗姗而来吧！希望大家见谅。我平时挖洞的经验，我总结了一下...
作者：独自等待 | 发布：2017年3月28日 | 分类：渗透测试 | 踩踏：22,904次 | 评论：2条
标签：app,SQL注入,XSS,代码审计,弱口令,端口扫描,逻辑漏洞
阅读全文

2016 年上半年中国网站安全报告
2016年11月16日，中国电信股份有限公司北京研究院（以下简称“中国电信北研院”）联合绿盟科技等，在北京发布“2016年上半年网站安全报告”，本文对报告内容进行生动解读，大家可以当段子看。相比 2015 年上半年， 2016 年上半年高危漏洞占比有所增加。 2015 ...
作者：独自等待 | 发布：2016年12月14日 | 分类：安全文档 | 踩踏：4,419次 | 评论：抢沙发
标签：SQL注入,漏洞,电信,绿盟,跨站脚本攻击
阅读全文

代码审计入门总结
0x00 简介之前看了seay写的PHP代码审计的书，全部浏览了一遍，作为一个代码审计小白，希望向一些和我一样的小白的人提供一下我的收获，以及一个整体的框架和常见漏洞函数。这也算是这本书的一个学习笔记吧，可以结合我捋顺的思路来看这本书。: ) 0x01 整...
作者：独自等待 | 发布：2016年10月18日 | 分类：代码审计 | 踩踏：21,785次 | 评论：25条
标签：php,SQL injection,SQL注入,XSS,代码审计,代码执行,代码注入
阅读全文