SQL注入中order by子句的功能是？主要是用來查看這個(gè)注入點(diǎn)網(wǎng)頁(yè)顯示多少字段，比如order by9不報(bào)錯(cuò)，order by10報(bào)錯(cuò)，那么這個(gè)網(wǎng)頁(yè)就有9個(gè)字段，最后手動(dòng)爆庫(kù)的時(shí)候，union s

SQL注入中order by子句的功能是？

主要是用來查看這個(gè)注入點(diǎn)網(wǎng)頁(yè)顯示多少字段，比如order by9不報(bào)錯(cuò)，order by10報(bào)錯(cuò)，那么這個(gè)網(wǎng)頁(yè)就有9個(gè)字段，最后手動(dòng)爆庫(kù)的時(shí)候，union select 1，2，3，4，5，7，8，9

什么是sql注入？我們常見的提交方式有哪些？

感謝邀請(qǐng)，針對(duì)你得問題，我有以下回答，希望能解開你的困惑。

首先回答第一個(gè)問題：什么是SQL 注入?

一般來說，黑客通過把惡意的sql語(yǔ)句插入到網(wǎng)站的表單提交或者輸入域名請(qǐng)求的查詢語(yǔ)句，最終達(dá)到欺騙網(wǎng)站的服務(wù)器執(zhí)行惡意的sql語(yǔ)句，通過這些sql語(yǔ)句來獲取黑客他們自己想要的一些數(shù)據(jù)信息和用戶信息，也就是說如果存在sql注入，那么就可以執(zhí)行sql語(yǔ)句的所有命令

那我延伸一個(gè)問題:sql注入形成的原因是什么呢？

數(shù)據(jù)庫(kù)的屬于與網(wǎng)站的代碼未嚴(yán)格分離，當(dāng)一個(gè)黑客提交的參數(shù)數(shù)據(jù)未做充分的檢查和防御的話，那么黑客的就會(huì)輸入惡意的sql命令，改變了原有的sql命令的語(yǔ)義，就會(huì)把黑客執(zhí)行的語(yǔ)句帶入到數(shù)據(jù)庫(kù)被執(zhí)行。

現(xiàn)在回答第二個(gè)問題：我們常見的注入方式有哪些？

我們常見的提交方式就是GET和POST

首先是GET，get提交方式，比如說你要查詢一個(gè)數(shù)據(jù)，那么查詢的代碼就會(huì)出現(xiàn)在鏈接當(dāng)中，可以看見我們id=1，1就是我們搜索的內(nèi)容，出現(xiàn)了鏈接當(dāng)中，這種就是get。

第二個(gè)是Post提交方式是看不見的，需要我們利用工具去看見，我們要用到hackbar這款瀏覽器插件

可以就可以這樣去提交，在這里我搜索了2，那么顯示的數(shù)據(jù)也就不同，這個(gè)就是數(shù)據(jù)庫(kù)的查詢功能，那么的話，get提交比post的提交更具有危害性。

第二個(gè)是Post提交方式是看不見的，需要我們利用工具去看見，我們要用到hackbar這款瀏覽器插件。

以上便是我的回答，希望對(duì)你有幫助。

如何更好的學(xué)習(xí)和理解SQL及語(yǔ)法？

其實(shí)如果想學(xué)好sql還是一個(gè)比較漫長(zhǎng)的過程，需要時(shí)間積累，看你提問你應(yīng)該是想有一個(gè)比較深刻的sql知識(shí)掌握，深度學(xué)習(xí)sql肯定就離不開對(duì)數(shù)據(jù)庫(kù)原理的掌握，數(shù)據(jù)庫(kù)我建議你選擇mysql，開源數(shù)據(jù)庫(kù)可以根據(jù)個(gè)人能力去挖掘?qū)W習(xí)，而mysql以后可能也是主流，所以個(gè)人建議基本分下面幾步去學(xué)習(xí)，:

1.首先不要追求太深入，達(dá)到會(huì)寫會(huì)用的階段就好，熟練編寫sql語(yǔ)句，即買本教材邊看邊練習(xí)，包括簡(jiǎn)單的sql語(yǔ)句和后期的高級(jí)sql。

2.熟練編寫以后就是對(duì)sql的優(yōu)化，比如explain等，這個(gè)階段就是理解sql的執(zhí)行過程并掌握如何寫出高效的sql。

3.最后一步就是了解掌握數(shù)據(jù)庫(kù)原理，這對(duì)你的sql知識(shí)是很大的提高.

希望對(duì)你有所幫助，謝謝……