本次分享內容:insert update delete對數據表操作的一些基本問題及例題分享。
insert語法介紹
insert插入到某張表中,後面跟上設置的參數以及值。在insert的時候可以使用哪些注入方法呢?
比如這個報錯的方法,如果報錯可以使用,那麼同理其他函數也是可以使用的。
首先看下語句使用,如下圖:
update 語法介紹
update 即對整張表做數據更新
我們在set 這個位置做一個注入,報錯後可以帶出數據:
delete語法介紹
delete即刪除表中的數據
例如我刪除id=7的數據
例題分享
我們發現引號不能傳入反斜槓可以傳入,反斜槓的作用就是讓引號失效。
我們全部清掉重新推導一遍,/進去之後,那麼這裏就會連起來。
在他後面去跟一個逗號,
我們看能否可以直接注入語句,如果直接傳入注入語句,select database 是可以直接傳進去的。database後面的字符把它閉合掉。
思路:要去猜它的一個基本模型是什麼,然後你才能做出對應的推測,進而推測出它的語法。,否則注入不進去。
通過插入“/ ”讓他的第一個參數中的引號失效,和第二個變量中的第一個引號閉合掉。
根據他給的提示我們再構造語句:
這就是通過注入拿到了我們想要的flag
以上內容參考安全牛課堂《CTF從入門到提升》
課程地址:https://www.aqniukt.com/course/8954