今天我們來學習一下二次注入,
老規矩,我們先來了解一下它的原理,
如圖,它的原理就這樣,并不是很復雜,
好的,估計大家只看這樣一個圖是很難理解的,那么我們現在來實際操作一下,
我們用的是sqli-labs-master第24關,
在實驗開始前,我們先看一下資料庫里面的用戶,一會我們會與這張圖做對比,
好,我們先打開靶場,在靶場的右下角有一個注冊的地方,在這里我們先注冊一個賬號,(我注冊的叫gq,密碼是123456)
好,我們現在看資料庫,里面有個叫”gq“密碼是123456的用戶,
好,我們用同樣的操作注冊一個叫的“gq’#”的用戶,密碼隨意,(資料庫內用戶情況如下圖)
好的,我們現在回傳首頁登錄gq’#的賬號,
在我們登錄之后,我們會發現我們可以修改用戶密碼,我們隨便改個密碼,(我改的密碼是999999)
這時它會提示成功,
好,這個時候我們再去看資料庫,會發現gq’#的密碼沒有變,但gq的密碼被改了,
這是怎么一回事?
其實很簡單,“gq’#”中的’與前面的陳述句閉合了(gq是字符肯定會被單引括起來),#注釋了后面的內容,
同樣的道理我們可以注冊一個用戶叫“admin’#”,即可修改admin的密碼了,
這就是二次注入,
(ps:求各位看官給點評論和關注)
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/66132.html
標籤:其他