以前在学习MYSQL注入时看到官方文档有这样一句话:"Thequalifiercharacterisaseparatetokenandneednotbecontiguouswiththeassociatedidentifiers."可知限定符左右可插入空白符,而经过测试MSSQL
SQL注入是发生在web端的安全漏洞,实现非法操作,欺骗服务器执行非法查询,他的危害有会恶意获取,甚至篡改数据库信息,绕过登录验证,原理是针对程序员编写时的疏忽,通过执行SQL语句,实现目的性攻击,他的流程可以分为判断注入类型,判断字段数,判断显示位,获取数据库中的信息。
提交数据段 --data。一般情况下,网站会用&作为参数的分隔符,这也是SQLMAP默认使用的分隔符,如果有些web application不使用&作为分隔符的话,那么就使用--param-del去告诉sqlmap分隔符是什么。
