偽靜態sql注入

❶ 為什麼sqlmap注入沒表

POST注入
兩種進行post注入種使用--data參數postkeyvalue用類似GET式提交二使用-r參數sqlmap讀取用戶抓POST請求包進行POST注入檢測

查看payload
前直加本代理用burpsuit看sqlmappayload現才發現用-v參數實現直認-v實現控制警告debug信息級別實際使用-v 3顯示注入payload4,5,6顯示HTTP請求HTTP響應頁面

使用google搜索
sqlmap測試google搜索結sql注入強功能吧使用參數-g覺實際使用用少

請求延
注入程請求太頻繁能防火牆攔截候--delay參數起作用設定兩HTTP請求間延web程序錯誤訪問屏蔽所請求導致所測試進行繞策略使用--safe-url每隔段間訪問頁面

偽靜態頁面
些web伺服器進行url rewrite或者網站偽靜態直接提供測試參數使用*代替要測試參數

執行系統命令
資料庫支持並且前用戶許可權候執行系統命令使用--os-cmd或者--os-shell具體講執行語句候嘗試用UDF（MySQLPostgrepSQL）或者xp_cmdshell（MSSQL）執行系統命令能執行語句仍嘗試創建webshell執行語句候需要web絕路徑總體說功率偏低功經驗～

測試等級
sqlmap使用--level參數進行同全面性測試默認1同參數影響使用哪些payload2進行cookie注入檢測3進行useragent檢測

❷ phpweb成品站偽靜態sql注入漏洞怎麼修復

首先你要分析它的代碼 是哪裡導致的
一般入股發生注入的話 一個是提交的代碼 沒有做安全過濾 二就是資料庫操作上 直接簡單的拼接字元串導致資料庫執行本應該按照普通字元串處理的內容了 比如說我要在資料庫中插入一條新聞，內容中就有 select * from table 如果沒有對它進行很好的處理的話 在插入數據的時候 就會把這句話先執行了 把結果村進去了 那麼 注入就產生了

❸ 偽靜態頁面能防止sql注入嗎

偽靜態能更加安全，但也不是絕對安全，還是可以注入的

❹ 靜態service 可以注入嗎

否能夠防止注入取決與濾手段偽靜態種URL重寫手段能防止注入-----------目前看防止注入效使用LINQ徹底隔絕SQL注入源

❺ 偽靜態可以注入嗎

是否能夠防止注入，取決與過濾手段，
偽靜態只是一種URL重寫的手段，不能防止注入。
-----------
目前來看，防止注入的最有效的方法就是使用LINQ，
徹底隔絕了SQL注入的源頭。

❻ 偽靜態sqlmap怎麼注入的

偽靜態sqlmap注入方法：

1、找到一個網站，做下安全檢測，url是這樣的:

❼ 偽靜態php網站該如何注入滲透，求大神告知，解答下

thinkphp漏洞還是蠻多的~ 首先你要知道thinkphp的運行方法而不是盲目的去注入

比如Home/Login/index.html

Home/Login/index/ID/1

❽ 網頁靜態化和網頁偽靜態化之間的區別與選擇

偽靜態即是網站本身是動態網頁如.php、.asp、.aspx等格式動態網頁,有時這類動態網頁還跟「?」加參數來讀取資料庫內不同資料。很典型的案例即是discuz論壇系統，後台就有一個設置偽靜態功能，開啟偽靜態後，動態網頁即被轉換重寫成靜態網頁類型頁面，通過瀏覽器訪問地址和真的靜態頁面沒區別。前提伺服器支持偽靜態重寫URL
Rewrite功能。

靜態化的簡單理解就是使網站生成頁面以靜態HTML的形式展現在訪客面前。

區別：

網頁靜態化分純靜態化和偽靜態化，兩者的區別在於PHP生成靜態頁面的處理機制不同。

考慮搜索引擎優化SEO，將動態網頁通過伺服器處理成靜態頁面，常見的論壇帖子頁面，都是經過偽靜態處理成靜態頁面格式html頁面。考慮網站所用的程序語言不易被發現，經過重寫來偽靜態來將動態網頁的程序後綴變為html的靜態頁面格式。

為什麼要讓網頁靜態化：

一、加快頁面打開瀏覽速度，靜態頁面無需連接資料庫打開速度較動態頁面有明顯提高;

二、有利於搜索引擎優化SEO，Bai、Google都會優先收錄靜態頁面，不僅被收錄的快還收錄的全;

三、減輕伺服器負擔，瀏覽網頁無需調用系統資料庫;

四、網站更安全，HTML頁面不會受php相關漏洞的影響;
觀看一下大一點的網站基本全是靜態頁面，而且可以減少攻擊，防sql注入。資料庫出錯時，不影響網站正常訪問。生成html文章雖操作上麻煩些，程序上繁雜些，但為了更利於搜索，為了速度更快些，更安全，這些犧牲還是值得的。

偽靜態的利與弊：

"如果流量稍大一些使用偽靜態就出現CPU使用超負荷，同時在線300多人就掛了，而不使用偽靜態的時候同時在線超500人都不掛，IIS數是1000。」確實是這樣的，由於偽靜態是用正則判斷而不是真實地址，分辨到底顯示哪個頁面的責任也由直接指定轉由CPU來判斷了，所以CPU佔有量的上升，確實是偽靜態最大的弊病。

選擇：

1、使用真靜態和假靜態對SEO來說沒有什麼區別

2、使用真靜態可能將導致硬碟損壞並將影響論壇性能

3、使用偽靜態將佔用一定量的CPU佔有率，大量使用將導致CPU超負荷

4、最重要的一點，要靜態是為了SEO

所以：

1、使用真靜態的方法可以直接排除了，因為無論怎麼生成，對硬碟來說都是很傷的。

2、既然真偽靜態的效果一樣，就可以選擇偽靜態了。

3、但是偽靜態大量使用會造成CPU超負荷。

4、所以只要不大量使用就可以了。

5、既然靜態只是給SEO看的，只需要偽靜態給SEO就行了。

6、只要在專門提供給SEO爬的Archiver中使用偽靜態就可以了。

❾ mysql 被SQL注入 求解

使用軟體在程序目錄裡面搜索殺軟提示的木馬鏈接，如果沒有在程序頁面里搜索到，那很有可能是伺服器所在機房造ARP病毒，網頁被劫持了。