SQL注入特殊字符(备查)

最新推荐文章于 2026-06-17 14:40:40 发布
原创 最新推荐文章于 2026-06-17 14:40:40 发布 · 4.8k 阅读 · 12 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#SQL #注入 #特殊字符 #工具
本文详细列举了SQL注入攻击中常见的特殊字符,包括括号、连接符、单引号、分号等,并强调了大小写在某些场景下的意义,为防范和理解SQL注入提供了基础知识。

对SQL注入而言,特殊字符包括以下列出的这些常见字符(请注意其中大小写也是有意义的,部分字符需要特定的大小写):

  1. --,#,//
  2. and
  3. or
  4. select
  5. update
  6. delete
  7. drop
  8. declare
  9. insert
  10. xp_shell
  11. (,)括号
  12.  ||,+, (空格) 连接符
  13.  ' 单引号
  14. |(竖线符号)
  15.  & (& 符号)
  16. ;(分号)
  17. $(美元符号)
  18. %(百分比符号)
  19.  @(at 符号)
  20. '(单引号)
  21. "(引号)
  22. \'(反斜杠转义单引号)
  23. \"(反斜杠转义引号)
  24. <>(尖括号)
  25. CR(回车符,ASCII 0x0d)
  26. LF(换行,ASCII 0x0a)
  27. ,(逗号)
  28. \(反斜杠)

具体怎么使用,怎么绕过常规检查和正则检查,需要自己在平常的练习中多进行思考和总结。我也在不断学习和训练,与各位共勉!

理论篇8:SQL注入(字符型注入和数字型注入)
aiojay的博客
05-02 4522
SQL注入(字符型注入和数字型注入),Mysql中 int(3) 类型的含义,判断MYSQL注入闭合方式:
商业AI公司如何应对国防项目:合作模式与灵活性的关键
weixin_33695082的博客
05-10 1238
人工智能(AI)作为核心技术,其工程化落地涉及复杂的技术集成与项目管理。从技术原理看,AI模型依赖数据驱动和算法迭代,但在特定高安全要求领域,如国防,需解决数据隔离、模型可审计与系统鲁棒性等挑战。其技术价值在于将前沿算法转化为可靠、可信的作战辅助能力,提升决策效率与任务效能。应用场景涵盖态势感知、智能指挥、模拟训练等关键领域。本文聚焦商业AI与国防需求对接,深入剖析双方在合作模式与项目灵活性上的核心博弈,探讨如何通过定制化解决方案、联合研发等途径,在确保安全合规的前提下实现技术赋能,其中供应链安全、人机协同
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 2462
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
渗透测试 | SQL注入字符注入详解
yu_19980401的博客
11-17 2232
SQL注入详解 SQL注入的概念 SQL注入是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。 字符注入 后台语句模板 SELECT first_name,last_name FROM users WHERE user_id = ‘$id’; 正常访问 SELECT first_name,last_name FROM users WHERE user_id = ‘1’; 构造SQL注入语句 SELECT firs_name,last_name FROM user
SQL注入学习之特殊符号(三)
公众号:乌云安全
02-03 3618
0x00 特殊符号 MySQL中数据一般用一些符号包裹起来 如 mysql> select * from admin where id = "1"; +------+----------+----------+ | id | username | password | +------+----------+----------+ | 1 | admin | admin | +------+----------+----------+ 1 row in set (0.00 sec)
2024年CentOS RHEL 系统更新安全补丁的方法_怎样升级red hat 补丁(2),网络安全音频面试
2401_84264244的博客
05-05 866
默认情况下, cron 任务被配置成了立即下载并安装所有更新,但是我们可以通过在 /etc/sysconfig/yum-cron 配置文件中把下面两个参数改为yes,从而改变这种行为。为了使来自 root@localhost 的通知能够通过邮件发送给同一账户(再次说明,你可以选择其他账户,如果你想这样的话),下面这些行也是必须的。安装完成以后,打开/etc/yum/yum-cron.conf,然后找到下面这些行内容,你必须确保它们的值和下面展示的一样。而其它的行保证了能够通知并自动下载、安装安全升级。
用快马AI一键生成数据库密码重置工具:告别‘ALTER USER‘报错烦恼
SilvermistRaven28的博客
11-02 563
现在团队再遇到密码重置报错,直接打开这个工具3秒搞定,再也不用担心记错SQL语法了。如果你也常被数据库密码问题困扰,不妨试试用快马快速构建专属管理工具。实际使用时发现,平台自动处理了服务器配置、域名绑定等复杂流程,还能随时回滚版本。对于需要频繁修改的数据库管理工具,这种即时生效的部署方式实在太方便了。这个安全提示要求用户定期修改密码,但每次手动写SQL语句既麻烦又容易出错。- Flask轻量灵活,适合快速开发Web服务。快速开发一个Web工具,自动完成这个过程。- MySQL是常见数据库,与报错场景匹配。
vue基于springboot框架的基于微服务教材征订系统(编号:
QQ1304979694的博客
05-14 321
对于本系统,我们提供全方位的支持,包括修改时间和标题,以及完整的安装、部署、运行和调试服务,确保系统能在你的电脑上顺利运行需要成品或者定制,如果本展示有不满意之处。支持教材名称、ISBN、出版社、作者、价格等字段管理。采用HTTP标准方法:GET获取资源,POST创建资源,PUT更新资源,DELETE删除资源。包含字段:订单ID、用户ID、教材ID、数量、状态、创建时间等。包含字段:教材ID、ISBN、名称、作者、出版社、价格、库存量等。包含字段:用户ID、用户名、密码、角色、联系方式等。
生产级机器学习系统:从模型上线到长期稳定运行的工程实践
最新发布
weixin_34221332的博客
06-17 409
机器学习系统在生产环境中的稳定运行,本质是系统工程问题,而非单纯的算法优化。其核心在于构建具备弹性、可观测性与可治理性的ML基础设施:通过定义清晰的集成契约保障服务间协作可靠性;借助特征预计算与多级熔断实现运行时弹性;依托分布漂移检测(如KS检验)与决策健康指标实现持续监控;并以压力测试和灰度验证驱动质量左移。这些实践直击金融、支付、保险等高可靠场景中常见的特征失效、延迟飙升、模型老化与审计合规等痛点,将‘能跑通’的模型升级为‘可信赖、可维护、可追责’的生产级AI服务。
模板驱动型文档自动化:出版就绪的标准化文档流水线
weixin_30882895的博客
06-08 697
文档自动化是企业高频交付场景下的关键工程能力,其核心在于将内容生产从自由创作转向结构化填空。模板驱动(Template-Driven)模式通过分层解耦的结构模板、样式模板与动态模板,实现合规可控、品牌一致、可审计可继承的文档生成逻辑,区别于不可控的AI全文生成。该技术显著降低排版门槛,支撑市场、咨询、法律、财务等非技术岗位快速产出PDF/ePub等出版就绪(Publish-Ready)交付物,在SaaS白皮书、合规报告、商业提案等长文档场景中验证可将交付周期压缩80%以上。
SQL注入原理-字符型注入
你们de4月天的博客
09-13 1万+
SQL注入原理-字符型注入
各种SQL注入攻击
m0_51227834的博客
01-07 512
http header信息头是HTTP协议的重要组成部分,包含了一数据段来于服务器进行通信。我们这里主要是利用三个:UA、X-Forwarded-For和Referer。UA:很多网站用他来判断操作系统和浏览器类型,来展示对应的页面。也有很多通过UA来判断访问是否合法,是用户访问还是程序访问等。X-Forwarded-For被认为是客户端通过HTTP代理或者负载均衡器连接到web服务端获取源ip地址的一个标准。部分网站通过它来辨别访问者的IP信息。Referer是来源信息,在防盗链中使用广泛。
SQL防止注入工具类,可能用于SQL注入的字符有哪些
JaneYork的博客
02-20 1082
为了防止SQL注入,强烈建议使用参数化查询或预处理语句,以确保用户输入的值不会直接拼接到SQL语句中。这样可以有效地防止注入攻击。此外,进行输入验证和过滤,只允许合法的字符输入,是增加应用程序安全性的另一种重要措施。SQL注入是一种攻击技术,攻击者试图通过在输入中注入恶意的SQL代码来干扰应用程序的数据库查询。为了防止SQL注入,你需要了解可能用于注入的一些常见字符和技术。
防止SQL注入
土拨鼠挖洞中的博客
06-23 805
1、转义:1.1对进入数据库的特殊字符(’”&lt;&gt;&amp;*;等)进行转义处理,或编码转换1.2转义函数 mysql_real_escape_string--&gt;&gt;&gt;&gt;该函数通过转义字符串,实现了过滤无效化(消毒)的功能,可以避免sql注入  addslashes---&gt;&gt;&gt;addslashes— 使用反斜线引用字符串,返回字符串,该字符串为了数...
mybatis特殊字符SQL注入
热门推荐
PJ码匠人
11-17 2万+
mybatis特殊字符SQL注入 字符转换 lt gt
Sql注入(手工注入思路、绕过、防御)
Naive的博客
09-26 4047
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
SQL注入——使用转义符“\“
lzu_lfl的博客
03-22 4204
sql注入、转义符反斜杠在sql注入中的应用、盲注脚本的编写
[特殊字符] SQL注入攻击的常见写法及危害
u013379032的博客
04-27 1503
SQL注入SQL Injection)是黑客通过构造恶意输入,篡改SQL查询逻辑的攻击方式。(如Hibernate、Django ORM) → 减少手写SQL。执行多条SQL语句(需数据库支持,如MySQL默认禁用)。:单引号注入、UNION查询、盲注、堆叠查询、二次注入。✅ 间接获取敏感信息(如密码、API密钥)。✅ 执行系统命令(如SQL Server的。:恶意数据先存入数据库,后续查询时触发注入。✅ 绕过输入过滤(因为首次存储时未检测)。:数据泄露、删库、服务器被控。✅ 删除表、篡改数据(如。
网安系列【6】之[特殊字符] SQL注入揭秘:从入门到防御实战指南
缘友一世的博客
07-05 1002
网安系列之🔍 SQL注入揭秘:从入门到防御实战指南
SQL SERVER 列名或别名中有特殊字符或为关键字
u010622242的博客
08-20 1万+
特殊字符:单引号、斜杠、百分号等。 关键字:from、in、select、where等。 一般会报xx附近有语法错误。确定xx为特殊字符或关键字。 解决办法,列名或别名用中括号括起来。 举个栗子: SELECT [借/贷] FROM TEST; SELECT [FROM] FROM TEST; SELECT * FROM [FROM];  ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值