小明在渗透测试一个网站,发现网站存在查询功能,如何判断该功能点存在SQL注

许多网站程序在编写时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些想得知的数据，这就是所谓的SQLInjection，即SQL注入

POST注入操作介绍:

1.POST注入一般发生在表单数据传输时、抓取POST提交的数据进行SQL语句测试POST注入操作流程:比如抓取的POST数为:userName=adminpassword=admin测试诸如语句写:userName=adminpassword='admin1=1--像这样userName参数后面加一些SQL语句(注入测试语句)进行POST数据注入测试即可。