-
不显示数据库内建的报错信息
- 内建的报错信息帮助开发人员发现和修复问题
- 报错信息提供关于系统的大量信息
-
当程序员隐藏了数据库内建报错信息,替换为通用的报错提示,sql注入将无法依据报错信息判断注入语句的执行结果,即盲注
-
思路:既然无法基于报错信息判断结果,基于逻辑真假的不同结果来判断
-
1’ and 1=1–
结果为真时,有结果 -
1’ and 1=2–
结果为假时,无结果
-
-
1’ order by 5– 假
无结果,说明为假 -
1’ order by 2– 真
有结果,说明为真
判断出 存在漏洞,其测试和一般注入漏洞方法一样