字符型注入认识SQL漏洞
1、先打开pikachu平台打开get,然后你输入一个随便的用户名它会提示用户不存在
接着我们就可以猜想它是由什么构成来验证的我们再把记事本打开记录一下自己的猜想,然后我们输入正确的用户名发现出现了两个字段
然后我们可以在数据库上看一下是不是之后再去pikachu上试一下输入用户名加上1 or 1,你会发现它会显示没有这个用户名,接着我们可以改成这种形式
就可以显示其他的所有用户名了
1、先打开pikachu平台打开get,然后你输入一个随便的用户名它会提示用户不存在
接着我们就可以猜想它是由什么构成来验证的我们再把记事本打开记录一下自己的猜想,然后我们输入正确的用户名发现出现了两个字段
然后我们可以在数据库上看一下是不是之后再去pikachu上试一下输入用户名加上1 or 1,你会发现它会显示没有这个用户名,接着我们可以改成这种形式
就可以显示其他的所有用户名了