本例sql注入是否有更好的利用办法?

题目描述

环境是iis+asp.net+mssql
语句如下

select * from demo  where username ='参数1'  and qt=参数2  order by addtime desc

其中,参数1来自数据库,无过滤,限制字符是50,
参数2来自用户post,忽略区分大小写模式过滤了以下字符(替换为_)
select|insert|delete|from|or|and|;|'|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec|master|net user|netlocalgroup|administrators
如何利用参数1,参数2,更好的拼接利用?

阅读 1.4k
撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进