过滤代码:
$id= preg_replace('/or/i',"", $id); //strip out OR (non case sensitive)
$id= preg_replace('/and/i',"", $id); //Strip out AND (non case sensitive)
$id= preg_replace('/[\/\*]/',"", $id); //strip out /*
$id= preg_replace('/[--]/',"", $id); //Strip out --
$id= preg_replace('/[#]/',"", $id); //Strip out #
$id= preg_replace('/[\s]/',"", $id); //Strip out spaces
$id= preg_replace('/[\/\\\\]/',"", $id); //Strip out slashes平台win7,mysql5.7.10
SQL语句:SELECT * FROM users WHERE id='$id' LIMIT 0,1
URL:http://localhost/sqli-labs-master/Less-26/?id=-1%27%09union%09select%091,2,3||%271过滤方法(都不行):
%09 TAB键(水平)
%0a 新建一行
%0c 新的一页
%0d return功能
%0b TAB键(垂直)
%a0 空格
/**/
+
()以上过滤方法都试过了还是不行,没有效果,如图
在线等。。
$id= preg_replace('/or/i',"", $id); //strip out OR (non case sensitive)
$id= preg_replace('/and/i',"", $id); //Strip out AND (non case sensitive)
$id= preg_replace('/[\/\*]/',"", $id); //strip out /*
$id= preg_replace('/[--]/',"", $id); //Strip out --
$id= preg_replace('/[#]/',"", $id); //Strip out #
$id= preg_replace('/[\s]/',"", $id); //Strip out spaces
$id= preg_replace('/[\/\\\\]/',"", $id); //Strip out slashes平台win7,mysql5.7.10
SQL语句:SELECT * FROM users WHERE id='$id' LIMIT 0,1
URL:http://localhost/sqli-labs-master/Less-26/?id=-1%27%09union%09select%091,2,3||%271过滤方法(都不行):
%09 TAB键(水平)
%0a 新建一行
%0c 新的一页
%0d return功能
%0b TAB键(垂直)
%a0 空格
/**/
+
()以上过滤方法都试过了还是不行,没有效果,如图
在线等。。
就是如何绕过空格过滤,以上的方法我都试过,都没效果sql注入?