1.2.1 静态方法

01 静态分析方法:

02 业务关注地方: 登陆页面-目前大多发生在http头的Client-ip,和x-forward-for记录ip的地方 订单系统-由于订单涉及和购物车等多个交互,会经常发生二次注入

03 关注函数: 数据库函数-mysql_connect,mysql_query,mysql_fetch_row, select,update,insert,delete

04 过滤函数- mysql_escape_string(), addslashes(), stripslashes(), mysqli_real_escape_string, addcslashes. GPC_MAGIC_QUOTES == off

05 挖SQL注入,全局搜索select,insert,updata这几个关键字 然后找到SQL语句 向上跟 跟到传入变量的地方 看看中途有没有过滤

results matching ""

    No results matching ""