Bil*_*Yan -2 sql security sql-injection
我总是对黑客感兴趣,我理解SQL注入和跨站点脚本的概念.但是,我不知道的是如何检测可能的SQL注入.我检查了一些书,但我没有得到太多的信息.黑客是手工进行检测工作还是拥有更智能的自动工具?
所以,我正在考虑编写一个简单的工具来进行自动注入检查(使用qwebkit).我想在发送之前捕获http请求,并用SQL注入命令替换http头的一些表单数据.该程序检查http响应并将其与正常响应进行比较并报告任何差异.
问题是我自己从未发现过SQL注入,这个想法是否有效?
比如,如果我成功升级到某个网站的管理员,返回的http响应应该看起来正常.所以我不能用我的程序自动报告?