忙碌,但不盲目

SQL注入测试用例

上一篇 / 下一篇  2012-10-08 16:38:19 / 个人分类:项目技能总结

1.  1.     Drop table.  Guess table name and drop it, note the next flowing SQL language

Select * from A where A.a = ‘testdata’; drop table A---’;

2.  2.    If a field only allow number, give it a String or others

3.     Use ‘OR 1=1’, get all records in query function

Select * from A where A.a = ‘testdata’ OR ‘1’=’1’;

4.   3.    In login function, give user name field like ‘username’--’, “--’ and A.password = ‘’” is commented

Select * from user A where A.username =  ‘username’--’ and A.password = ‘’;

 

5.  4.     Adding records function, if there is 4 fields in this table, add 5 fields, eg.

Normal: Insert into table A values(‘’,’’,’’,’’);

Test Data: Insert into table A values(‘’,’testdata’,’’,’’,’’);

6.  5.    Input test data in or out of this field data 

7.  6.    Add single quotation marks and semicolon, and break off string splicing, this is similar with point 4

Update table A set A.a = ‘testdata’;--

Yellow partis test data we input 


TAG:

shanshan11的个人空间 引用 删除 shanshan11   /   2018-06-01 11:38:00
-5
引用 删除 13552244635   /   2018-05-24 15:30:41
3
引用 删除 zhengrye   /   2018-02-08 16:09:37
-5
jfliu的个人空间 引用 删除 jfliu   /   2017-02-10 14:58:00
1
田雨二的个人空间 引用 删除 田雨二   /   2016-03-07 21:02:08
1
weiyang0818的个人空间 引用 删除 weiyang0818   /   2016-02-27 16:28:57
5
fhhh_eyou的个人空间 引用 删除 fhhh_eyou   /   2015-12-14 10:48:28
值得认真学习学习,谢谢!
fhhh_eyou的个人空间 引用 删除 fhhh_eyou   /   2015-12-14 10:47:53
1
ccg890811的个人空间 引用 删除 ccg890811   /   2015-06-10 16:37:07
5
zhuliwei的个人空间 引用 删除 zhuliwei   /   2015-02-26 13:30:33
5
Jackierwong的个人空间 引用 删除 Jackierwong   /   2014-12-14 19:24:54
不懂,有具体情景吗
 

评分:0

我来说两句

显示全部

:loveliness: :handshake :victory: :funk: :time: :kiss: :call: :hug: :lol :'( :Q :L ;P :$ :P :o :@ :D :( :)

Open Toolbar