问答博客资讯标签用户活动
logo极客观点logo项目管理logoHarmonyOS
开发者社区
javascript
前端
python
node.js
react
vue.js
php
laravel
go
人工智能
mysql
linux
ios
java
android
css
typescript
spring
程序员
logoONES 研发管理logo思否企业问答logo安谋科技 XPU

本例sql注入是否有更好的利用办法?

头像
getdomain
    516
    头像
    Yujiaao
      12.7k62146
      新手上路,请多包涵

      题目描述

      环境是iis+asp.net+mssql
      语句如下

      select * from demo  where username ='参数1'  and qt=参数2  order by addtime desc

      其中,参数1来自数据库,无过滤,限制字符是50,
      参数2来自用户post,忽略区分大小写模式过滤了以下字符(替换为_)
      select|insert|delete|from|or|and|;|'|count(|drop table|update|truncate|asc(|mid(|char(|xp_cmdshell|exec|master|net user|netlocalgroup|administrators
      如何利用参数1,参数2,更好的拼接利用?

      Microsoftsqlserverasp.netsql注入
      阅读 1.4k
      撰写回答
      你尚未登录,登录后可以
      • 和开发者交流问题的细节
      • 关注并接收问题和回答的更新提醒
      • 参与内容的编辑和改进,让解决方法与时俱进
      推荐问题