伪静态sql注入

❶ 为什么sqlmap注入没表

POST注入
两种进行post注入种使用--data参数postkeyvalue用类似GET式提交二使用-r参数sqlmap读取用户抓POST请求包进行POST注入检测

查看payload
前直加本代理用burpsuit看sqlmappayload现才发现用-v参数实现直认-v实现控制警告debug信息级别实际使用-v 3显示注入payload4,5,6显示HTTP请求HTTP响应页面

使用google搜索
sqlmap测试google搜索结sql注入强功能吧使用参数-g觉实际使用用少

请求延
注入程请求太频繁能防火墙拦截候--delay参数起作用设定两HTTP请求间延web程序错误访问屏蔽所请求导致所测试进行绕策略使用--safe-url每隔段间访问页面

伪静态页面
些web服务器进行url rewrite或者网站伪静态直接提供测试参数使用*代替要测试参数

执行系统命令
数据库支持并且前用户权限候执行系统命令使用--os-cmd或者--os-shell具体讲执行语句候尝试用UDF（MySQLPostgrepSQL）或者xp_cmdshell（MSSQL）执行系统命令能执行语句仍尝试创建webshell执行语句候需要web绝路径总体说功率偏低功经验～

测试等级
sqlmap使用--level参数进行同全面性测试默认1同参数影响使用哪些payload2进行cookie注入检测3进行useragent检测

❷ phpweb成品站伪静态sql注入漏洞怎么修复

首先你要分析它的代码 是哪里导致的
一般入股发生注入的话 一个是提交的代码 没有做安全过滤 二就是数据库操作上 直接简单的拼接字符串导致数据库执行本应该按照普通字符串处理的内容了 比如说我要在数据库中插入一条新闻，内容中就有 select * from table 如果没有对它进行很好的处理的话 在插入数据的时候 就会把这句话先执行了 把结果村进去了 那么 注入就产生了

❸ 伪静态页面能防止sql注入吗

伪静态能更加安全，但也不是绝对安全，还是可以注入的

❹ 静态service 可以注入吗

否能够防止注入取决与滤手段伪静态种URL重写手段能防止注入-----------目前看防止注入效使用LINQ彻底隔绝SQL注入源

❺ 伪静态可以注入吗

是否能够防止注入，取决与过滤手段，
伪静态只是一种URL重写的手段，不能防止注入。
-----------
目前来看，防止注入的最有效的方法就是使用LINQ，
彻底隔绝了SQL注入的源头。

❻ 伪静态sqlmap怎么注入的

伪静态sqlmap注入方法：

1、找到一个网站，做下安全检测，url是这样的:

❼ 伪静态php网站该如何注入渗透，求大神告知，解答下

thinkphp漏洞还是蛮多的~ 首先你要知道thinkphp的运行方法而不是盲目的去注入

比如Home/Login/index.html

Home/Login/index/ID/1

❽ 网页静态化和网页伪静态化之间的区别与选择

伪静态即是网站本身是动态网页如.php、.asp、.aspx等格式动态网页,有时这类动态网页还跟“?”加参数来读取数据库内不同资料。很典型的案例即是discuz论坛系统，后台就有一个设置伪静态功能，开启伪静态后，动态网页即被转换重写成静态网页类型页面，通过浏览器访问地址和真的静态页面没区别。前提服务器支持伪静态重写URL
Rewrite功能。

静态化的简单理解就是使网站生成页面以静态HTML的形式展现在访客面前。

区别：

网页静态化分纯静态化和伪静态化，两者的区别在于PHP生成静态页面的处理机制不同。

考虑搜索引擎优化SEO，将动态网页通过服务器处理成静态页面，常见的论坛帖子页面，都是经过伪静态处理成静态页面格式html页面。考虑网站所用的程序语言不易被发现，经过重写来伪静态来将动态网页的程序后缀变为html的静态页面格式。

为什么要让网页静态化：

一、加快页面打开浏览速度，静态页面无需连接数据库打开速度较动态页面有明显提高;

二、有利于搜索引擎优化SEO，Bai、Google都会优先收录静态页面，不仅被收录的快还收录的全;

三、减轻服务器负担，浏览网页无需调用系统数据库;

四、网站更安全，HTML页面不会受php相关漏洞的影响;
观看一下大一点的网站基本全是静态页面，而且可以减少攻击，防sql注入。数据库出错时，不影响网站正常访问。生成html文章虽操作上麻烦些，程序上繁杂些，但为了更利于搜索，为了速度更快些，更安全，这些牺牲还是值得的。

伪静态的利与弊：

"如果流量稍大一些使用伪静态就出现CPU使用超负荷，同时在线300多人就挂了，而不使用伪静态的时候同时在线超500人都不挂，IIS数是1000。”确实是这样的，由于伪静态是用正则判断而不是真实地址，分辨到底显示哪个页面的责任也由直接指定转由CPU来判断了，所以CPU占有量的上升，确实是伪静态最大的弊病。

选择：

1、使用真静态和假静态对SEO来说没有什么区别

2、使用真静态可能将导致硬盘损坏并将影响论坛性能

3、使用伪静态将占用一定量的CPU占有率，大量使用将导致CPU超负荷

4、最重要的一点，要静态是为了SEO

所以：

1、使用真静态的方法可以直接排除了，因为无论怎么生成，对硬盘来说都是很伤的。

2、既然真伪静态的效果一样，就可以选择伪静态了。

3、但是伪静态大量使用会造成CPU超负荷。

4、所以只要不大量使用就可以了。

5、既然静态只是给SEO看的，只需要伪静态给SEO就行了。

6、只要在专门提供给SEO爬的Archiver中使用伪静态就可以了。

❾ mysql 被SQL注入 求解

使用软件在程序目录里面搜索杀软提示的木马链接，如果没有在程序页面里搜索到，那很有可能是服务器所在机房造ARP病毒，网页被劫持了。