Seo 干净url上的SQL注入

我想使用sqlmap测试我的网站的SQL注入。我正在使用mod_rewrite，我的URL如下所示：

http://www.example.com/forum/&nav_page=1 

（其中nav_page是参数名称，1是值）

我遇到的问题是，我无法找到一种方法来告诉sqlmap仅对值执行注入测试

---

URL也不包含

？

符号，因为它对搜索引擎优化很友好。

你对搜索引擎优化轻浮的看法相当模糊。使url看起来“seo友好”的不是符号。这是一种不涉及参数名称和值的技术

因此，您必须决定是否使用查询字符串参数。 如果没有-让你的网址真正的搜索引擎优化友好。像

---

如果您仍然希望使用查询字符串变量，那么请正确使用它们，使用？标记以定义查询字符串

很抱歉，我不明白我在使用：./sqlmap.py-u”“--dbs--randomgagent-o，它检查整个url，我只想检查值位置（1），仅仅因为您的“干净url”不包含

？

并不意味着您的servlet不会读取

url参数

。尝试

*

来标记注入点。基本上说来；如果您从url获取值并将其直接插入到数据库中，那么您就容易受到攻击；不管你是否想要一个seo友好的url（？也是seo友好的，并且仍然被使用）