SQL注入基础（文本型和数字型）

SQL注入基础（文本型和数字型）

1. SQL注入：黑客将一段精心构造的代码拼接在正常查询语句的后面，并代入数据库中执行

2. 注意：在dvwa环境下，需要将注入级别设成low，不然是无法实现注入的

3. 文本型注入几种paload的构造方法（注意：以下如果要在地址栏url输入的话，一定要转成url编码才行，以下是在文本框的情况下输入）：

   1. ‘ or 1=1 #
   2. ‘ or 1=1 or ‘
   3. ‘ or 1=1 or ‘1
   4. 1‘ or ’1‘ = ‘1

4. 判断到底是文本型输入还是数字型输入，很关键，有几种方法测试：

   1. 用+或者-来测试：如下图，输入+1,如果是文本型的话，‘2+1’和'2'返回的结果都是一样的

   2. 但如果是数字型，2和2+1=3返回的查询结果是不同的

      

   3. 或者输入'来测试，如果是文本型的，如输入1'，浏览器会发现多了一个闭合的单引号报错

5. url编码问题：在浏览器地址栏输入构造的payload时,一定要考虑url编码，不然会得不到结果,以下是常用的字符转url编码表示方式：

   

6. 关于在地址栏失效的原因解释: