Oracle数据库注入使用“--”来连接字符

由于 Oracle 数据库支持“ || ”来连接字符,其字符型注入点的判断方式与 MsSQL 数据库和 Mysql 数据库的判断方式不一样,通常在 URL 后添加“ ' and ''||' 1'='1 ”和“ ' and ''||' 1'='2 ”进行判断。

如:提交 URL 为:“ http://www.nohacker.com/thous/view_zxxx.jsp?id=00016222' and ''||' 1'='1 ”,网页显示正常

提交 URL 为:“ http://www.nohacker.com/thous/view_zxxx.jsp?id=00016222' and ''||' 1'='2 ”,网页显示错误