[CTF问题] sql注入绕过求解

[复制链接]
查看785 | 回复0 | 2020-11-25 14:26:28 | 显示全部楼层 |阅读模式
本帖最后由 kronew33 于 2020-11-26 15:04 编辑

对于输入userPin做了如下处理:
userPin = userPin.replaceAll("\\\\", "\\\\\\\\").replaceAll("'", "");
userPin = java.net.URLDecoder.decode(userPin.replaceAll("\\\\\\\\x", "%"), "UTF-8");
SQL语句为:"SELECT userName FROM users WHERE userPin = '" + userPin + "'"外面用的conn.prepareStatement方法传参
请问该如何绕过?


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

4

主题

5

帖子

28

积分

初入江湖

Rank: 2

积分
28