Mysql Insert into set 语法绕过 360scan insert 防注入

2021年4月2日20:09:03评论160 views字数 371阅读1分14秒阅读模式

360scan正则：INSERT\s+INTO.+?VALUES

其实Mysql不只可以用insert into xxx values 插入数据，还可以:insert into xxx set xx =

提交：

http://localhost/360.php?sql=insert into user (user,pass) values ('admin','123456')

提交set语法：

http://localhost/360.php?sql=insert into user set user='admin',pass='123456'

修复方法当然最好是加上set了。

留言评论（旧系统）：

rockknife @ 2014-04-24 19:50:53

可以啊

本站回复：

？

文章来源于lcx.cc:Mysql Insert into set 语法绕过 360scan insert 防注入

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

Php安全新闻早8点（2011-11-17 星期四） - 技术文章

本文由 admin 发表于 2021年4月2日20:09:03
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
Mysql Insert into set 语法绕过 360scan insert 防注入https://cn-sec.com/archives/316997.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.