第14天 SQL注入

• 简要明确参数类型

数字，字符，搜索，JSON等

参数类型决定原来语句的写法（有无引号等）写法不唯一

• 简要明确请求方法

GET,POST,COOKIE,REQUEST,HTTP头等

REQUEST：全部接收

SERVER:获取服务器信息 $s=S_SERVER['HTTP_USER_AGENT'];

其中SQL语句干扰符号：‘，“，%，），}等

SQL中查询用%

select * from user where name like '%xiaodi%'