大数据

一、 绕过waf思路 从第一步起，一点一点去分析，然后绕过。 1、过滤 and,or preg_match('/(and|or)/i', $id) Filtered injection: 1 or 1 = 1 1 and 1 = 1 Bypassed injection: 1 || 1 = 1 1 && 1 = 1…

sql注入入门 SQL 注入是一类危害极大的攻击形式。虽然危害很大，但是防御却远远没有XSS那么困难。 SQL 注入漏洞存在的原因，就是拼接 SQL 参数。也就是将用于输入的查询参数，直接拼接在 SQL 语句中，导致了SQL 注…

前言 SQL注入有直接sql注入也有文件读写时的注入了我们这篇文章介绍的是SQL注入中的文件读写这一块的内容，具体的一起来看看。 一、MySQL 读文件 常见的读文件，可以用16进制代替字符串 select load_file('c:/boot.…

一、概述 相信大家在日常开发中，在SQL语句中经常需要进行字符串拼接，以sqlserver，oracle，mysql三种数据库为例，因为这三种数据库具有代表性。 sqlserver： select '123'+'456'; oracle： select '123'||'456' f…

前言 在有一些情况下，开发同学经常使用like去实现一些业务需求，当使用like时，我们都知道使用like 前%（like ‘%111'）这种情况是无法使用索引的，那么如何优化此类的SQL呢，下面是一个案例。 原SQL如下： pcc_cus…

前言 sql注入在很早很早以前是很常见的一个漏洞。后来随着安全水平的提高，sql注入已经很少能够看到了。但是就在今天，还有很多网站带着sql注入漏洞在运行。稍微有点安全意识的朋友就应该懂得要做一下sql注入过滤。…

SQL注入是比较常见的网络攻击方式之一，它不是利用操作系统的BUG来实现攻击，而是针对程序员编程时的疏忽，通过SQL语句，实现无帐号登录，甚至篡改数据库。下面这篇文中就SQL注入进行一个深入的介绍，感兴趣的朋友…

Mybatis查询延迟加载详解及实例 1.1     启用延迟加载        Mybatis的延迟加载是针对嵌套查询而言的，是指在进行查询的时候先只查询最外层的SQL，对于内层SQL…

一、前言　　 　　现在做项目数据访问基本都会选择一种orm框架，它以面向对象的形式屏蔽底层的数据访问形式，让开发人员更集中在业务处理上，而不是和数据库的交互上，帮助我们提高开发效率；例如一些简单的insert…

区别介绍：      where 子句的作用是在对查询结果进行分组前，将不符合where条件的行去掉，即在分组之前过滤数据，where条件中不能包含聚组函数，使用where条件过滤出特定的行。   &…