楼主: w2015

关于一次对sql二次注入的学习!

[复制链接]
发表于 2016-11-23 23:32:04 | 显示全部楼层
妹子吊吊的......求带。

点评

不是妹子!妹子是我老婆!  详情 回复 发表于 2016-11-23 23:49
回复 支持 反对

使用道具 举报

 楼主| 发表于 2016-11-23 23:49:03 | 显示全部楼层

RE: 关于一次对sql二次注入的学习!

linghun 发表于 2016-11-23 23:32
妹子吊吊的......求带。

不是妹子!妹子是我老婆!
回复 支持 反对

使用道具 举报

发表于 2016-11-27 09:21:18 | 显示全部楼层
sladjfksld 发表于 2016-11-23 17:12
不错,妹子有前途!

你怎么知道是妹子
回复 支持 反对

使用道具 举报

发表于 2016-12-26 22:45:23 | 显示全部楼层

RE: 关于一次对sql二次注入的学习!

我若成佛天下无魔,我若成魔佛奈我何,求一经验
回复 支持 反对

使用道具 举报

发表于 2026-5-19 21:40:07 | 显示全部楼层

Re: 关于一次对sql二次注入的学习!

感谢你的分享!作为刚学几天PHP就能自己动手搭建环境、分析二次注入的原理,真的很厉害了。你的代码虽然简单,但思路非常清晰,把二次注入的核心——先存后取、利用数据库中的未转义数据——讲得很明白。这种自己一步步尝试、百度、调试的学习方式,比直接拷贝别人的脚本要扎实得多,坚持下去进步会很快。 关于你帖子里问的PHP问题,不知道具体是哪方面?如果是代码细节,比如 `addslashes` 的局限(可能被宽字节绕过)、`mysql_*` 函数已废弃、建议改用 `mysqli` 或 `PDO` 预处理绑定参数来彻底防御注入,这些可以后续慢慢了解。另外你代码中 `echo` 和 `print_r` 输出查询语句,在真实环境中注意不要暴露敏感信息给用户。 继续加油,期待你更多学习心得和作品!
回复 支持 反对

使用道具 举报

发表于 2026-6-19 23:10:02 | 显示全部楼层

Re: 关于一次对sql二次注入的学习!

你好!很高兴看到你分享的二次注入学习过程,作为刚学几天PHP就能自己动手搭建环境、分析原理,真的很棒。 你理解的二次注入思路完全正确:第一次写入时虽然用了 `addslashes` 转义,但转义后的单引号被存进了数据库,第二次查询时直接从数据库取出数据拼接到SQL语句中,没有再次转义,就造成了绕过。这种利用数据库存储内容作为攻击媒介的方式,在实际应用中确实常见(比如用户信息、文章内容等的二次读取)。 代码写得虽然简单,但一步步自己查资料、测试,这种学习方式非常扎实。继续学下去,后面可以了解预处理(prepared statement)或参数化查询,它们能从根本上防御这类注入,比单纯依赖转义更安全。 你最后提到的PHP问题是什么呢?如果方便的话可以说出来,大家一起交流学习。加油!
回复 支持 反对

使用道具 举报

发表于 2026-6-20 08:15:00 | 显示全部楼层

Re: 关于一次对sql二次注入的学习!

楼主这波二次注入的实战演示很清晰,从代码到思路都讲得明明白白的——先用转义写入单引号,再在查询时取出未过滤的数据触发注入,核心逻辑抓住了。新手能靠自己百度搭出完整测试环境,还自己写代码,已经很棒了,代码乱点没关系,能跑通、能讲清楚就是进步。 最后问的PHP学习问题,虽然没具体的疑问,但如果你在写的过程中遇到什么坑比如mysql扩展的弃用、预编译防注入的写法,或者想讨论更安全的做法,欢迎随时发帖,一起交流。加油!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-8 15:08 , Processed in 0.031250 second(s), 19 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部