- #部分语言接受代码块
<?php
header("Content-Type: text/html; charset=utf-8");
$get=$_GET['g'];
$post=$_POST['p'];
$cookie=$_COOKIE['c'];
$request=$_REQUEST['r'];全部都能接收
$host=$_SERVER['HTTP_HOST'];//访问当前url地址
$user_agent=$_SERVER["HTTP_USER_AGENT"];//浏览器信息
$ip=$_SERVER["HTTP_X_FORWARDED_FOR"];//8.8.8.8
echo $get."<hr>";
echo $post."<hr>";
echo $cookie."<hr>";
echo $request."<hr>";
echo $host."<hr>";
echo $user_agent."<hr>";
echo $ip;
?>
1,在IP地址中网址sql注入可以注入并且执行那么就可以进行sql注入
2,UA信息也可以进行尝试抓包修改进行sql注入
get注入,所以注入数量有大小限制
Java Spring 不同框架,不同写法
method=RequestMethod.GET 以get方式接收
method=RequestMethod.POST 以POST方式接收
request.getParameter("参数名"); 这个就是全部接收
可以直接获取get请求的参数key对应的value
也可以从请求体中获取参数的key对应的value
Python flask 不同框架,不同写法
requests.get
requests.post
request.args.get(key) 接收get类型的
request.form.get(key) 接收post类型的 form代表表单
request.values.get(key) values全部接收
- sqlmap注入之文本txt注入法
把需要注入的文本放在当前目录下复制复制并保存
抓取数据包,然后把文本复制进去,并在需要注入的地方加上”*“号,sqlmap就会识别你要注入的地方就是在“*”号这个位置
sqlmap语法 -r 去识别文本文件的注入点 以get发送请求
sqlmap以post方式请求或发送 参数在后面输入需要注入的点 --data以post方式请求
1,url地址没有参数也可以产生注入点,因为有些地址并不会让url地址产生注入
2,登录宽注入,称之为post注入
3,判断数据什么注入模式,抓包去查看数据包中的数据
- 百盒测试
一下判断是用过IP地址来判断的,所以我们可以通过修改IP地址来伪造