sql注入实战挖掘和绕过总计

xiasql被动扫描

挖掘src的时候，尽量使用xiasql来被动fuzz，xiasql的payload不会被waf拦截。
但是xiasql跑不出来完全无回显的注入，完全无回显的注入需要利用延时来进行判断。

1' and if(1=1,sleep(10),1) #
1' waitfor delay '0:0:5' --