安全:关闭浏览器自身的过滤机制

在本地搭建 sqli-labs-master 进行学习测试的时候。
工具: 火狐+hackbar
注入语句: http://127.0.0.1/sqli-labs-master/Less-4/?id=1") union select 1,system_user (),3--%20
结果在地址栏中却变成了: http://127.0.0.1/sqli-labs-master/Less-4/?id=1 union select 1,system_user ,3- #902894363504676761
如上所示:
1.括号『( )』被过滤掉了
2.双横杠『--』也被过滤掉了,变成『- 』
3.在注入语句的末尾,添加了一段随机数: #902894363504676761
这应该是浏览器的安全机制吧?
想问下,可以关闭该安全过滤机制吗,以方便本地学习测试。

安全 网络安全 php安全


share
天、使→恶,魔 9 years, 6 months ago

Answers

。。。
「()」什麼的本來就不該出現在 URL 裏。你用 console 執行下 urlencode 再粘貼就好了。


share
天道院美夏 answered 9 years, 6 months ago

试了一下没有出现这样的情况。是不是你装的其他什么插件导致的?
正常来说 url 后面加 #xxxxx 不会影响 sql 注入,因为它不是 querystring 的一部分。


share
Mxgic answered 9 years, 6 months ago

Your Answer

Ask Question
Related questions

SQLi-Labs教程地址

php 只通过 filter 过滤用户输入,是否足够安全?

黑帽子在从业多年之后怎么洗白上岸的?

国内有哪些可以信任的https证书公司机构?

SQLI:如何绕过addslashes

又拍云 表单api 作为不可信用户上传的方式 是否安全