大家快来看，这种伪静态网页存在SQL注入吗？

2021-07-12 05:38:52 79 LiJun1998 17481

原网页是这样的：

在数字前面加个单引号就报错：

但是在数字后面加单引号没影响：

在加上单引号和其他数字，就相当于单引号后面的都被注释了一样，没影响

这种应该如何注入？

类别安全研究

关于作者

LiJun199811篇文章49篇回复

LiJun1998

评论79次

要评论？请先登录或注册

19楼

Strjziny
2021-7-12 10:41

不是sql注入，只是报错信息没有处理，信息泄露了

回复|@ta|踩(0)|顶(0)
18楼

雷楼某
2021-7-12 10:33

感觉不像是sql注入啊，感觉更像是错误机制没处理好

回复|@ta|踩(0)|顶(0)
17楼

thiscode
2021-7-12 10:27

这不是报错,是php var_dump

回复|@ta|踩(0)|顶(0)
16楼

z1v0s
2021-7-12 10:27

理论上来说，sql注入是后端数据库的问题，跟前端伪静态没啥关xi啊

回复|@ta|踩(0)|顶(0)
15楼

霄玄道人
2021-7-12 10:24

这个不是注入吧

回复|@ta|踩(0)|顶(0)
14楼

dir888
2021-7-12 10:20

这个不是注入，你可以尝试把这个连接转换成没有伪静态的状态再试试

回复|@ta|踩(0)|顶(0)
13楼

Anonymous
2021-7-12 10:19

这不是注入

回复|@ta|踩(0)|顶(0)
12楼

poorworks
2021-7-12 10:17

只有类型报错信息但是感觉暴露很多有用信息啊

回复|@ta|踩(0)|顶(0)
11楼

SuNu11
2021-7-12 10:13

程序没有定制化处理异常信息，另外报错原因是你加了特殊字符数组类型转换导致

回复|@ta|踩(0)|顶(0)
10楼

v1rusS
2021-7-12 10:11

可能是开发人员对这里的没处理，单看页面似乎是不存在注入的关xi

回复|@ta|踩(0)|顶(0)
9楼

风口的风
2021-7-12 10:07

这个报错和SQL没关xi

回复|@ta|踩(0)|顶(0)
8楼

zR00t1
2021-7-12 09:48

第二张图露点了

回复|@ta|踩(0)|顶(0)
7楼

G0mini
2021-7-12 09:48

之前在ctf遇到过，表哥你可以这样试试/ https://ip/newsshow/id/529 如果是伪静态的话，他其实是这样的 https://ip/newsshow?id=529 这样注入试试

回复|@ta|踩(0)|顶(0)
6楼

yu_sir
2021-7-12 09:24

根据网页报错现象，无明显调用SQL语句，目测可能只是原计划输入字符为字符串，但楼主输入了特殊符号，导致单纯异常处理不够报错而已

回复|@ta|踩(0)|顶(0)
5楼

smallyang1314
2021-7-12 09:12

这个不是注入问题

回复|@ta|踩(0)|顶(0)
4楼

redmaotaozi
2021-7-12 09:07

这个不是注入，倒是像php里面的类型转换出的问题

回复|@ta|踩(0)|顶(0)
3楼

jsc_aqfw
2021-7-12 09:00

楼主，我知道打码的是哪个站，因为你打码不严。

回复|@ta|踩(0)|顶(0)
2楼

hero0
2021-7-12 08:25

应该没有注入问题

回复|@ta|踩(0)|顶(0)
1楼

0verf1ows
2021-7-12 05:41

这是网站代码问题不是注入

回复|@ta|踩(0)|顶(0)