sql注入 form过滤怎么绕过

sql注入 form过滤怎么绕过

我常用的三种方法：
1，参数过滤，过滤掉 单引号，or，1=1 等类似这样的 。
2，使用 参数化方法格式化 ，不使用拼接SQL 语句。
3，主要业务使用存储过程，并在代码里使用参数化来调用（存储过程和方法2结合）

此趁此机会科普一下并查阅了一些绕过waf的方法。网上关于绕过waf有诸多文章，但是观察之后会发现大体上绕过waf的方法就那八、九种，而且这些技术出来也有些日子了，继续使用这些方法是否有效有待于我们在实际中去验证。看过数篇绕过waf的文章后，前人对技术的总结已经比较全面，但是完整的内容可能分布在各处，查阅起来不太方便。另外，我们谈绕过waf，其实就是谈如何绕过过滤机制，如果在讨论bypass技术的时候明确一下现有的一些filter的实现及其evasion，对于我这样的初学者来说是不是更好？还有就是如果在文章后面可以提供一些测试向量提供思路和参考，内容看起来很杂，但是也会比较方便呢?抱着这些想法，同时也顶着巨大的压力(前人工作已经比较完善，这么大的信息量总结起来对我是一次挑战)，我还是决定写出本文，这样更能适应自己的需求，也可能更加适合一些朋友的需求。