文章总结： 本文介绍XiaSQL_Plus插件，这是对xia_sql的二开增强版，修复了JSON解析bug。工具支持URL参数、多层JSON及GraphQL等多种格式检测，具备智能解析、自动去重及错误模式匹配功能，通过响应差异精准识别注入点。用户可从GitHub下载，以提升SQL注入渗透测试效率。 综合评分： 80 文章分类： 安全工具,WEB安全,渗透测试

XiaSQL_Plus｜我认为这是二开瞎注xia_sql插件中的最强版本

犀利猪

犀利猪安全

2026年1月2日 09:29 湖南

免责声明

文章内容仅限授权测试或学习使用请勿进行非法的测试或攻击，利用本账号所发文章进行直接或间接的非法行为，均由操作者本人负全责，犀利猪安全及文章对应作者将不为此承担任何责任。

文章来自互联网或原创，如有侵权可联系我方进行删除，深感抱歉。

01

更新内容

    最新的公开版本，基于前一个公开版本修复了原有功能中的部分bug，主要修复内容为复杂json格式判断异常的问题：

02

二开介绍

    为什么认为是最强，探测格式基本上涵盖了当前所有的请求格式内容。话不多说，核心功能如下：

1. 多种格式检测支持

• ✅ URL 参数检测：传统 GET/POST 参数
• ✅ JSON 格式检测：不再局限于简单Json，支持多层Json以及数组嵌套格式的检测
• ✅ Multipart/form-data 检测：支持文件上传表单数据包中的探测，精准识别参数
• ✅ GraphQL 查询检测：支持 GraphQL API 中的参数注入探测
• ✅ URL 编码的 JSON 检测：自动识别并解码 URL 编码的 JSON 参数

2. 智能 JSON 处理引擎

• 🔄 多层嵌套支持：完整支持 JSON 对象、数组的多层嵌套结构
• 🔄 动态路径解析：自动识别 JSON 中所有可注入的字段
• 🔄 值类型感知：根据字段值类型（字符串、数字）智能选择 payload

3. 高级匹配机制

• 🎯 强匹配检测：针对 JSON 数组和多层嵌套的精确匹配
• 🎯 上下文感知：根据参数名/值内容自动调整 payload 策略，精准匹配参数值，为数值型则自动进行 -1、-0判断
• 🎯 排序参数识别：自动识别 limit、order、sort 等排序相关参数

4. 友好的结果显示

• 📊 长度变化检测：精确计算响应包长度变化

• 📊 差值显示策略：

• 变化 ≤ 6666：显示具体差值（如 “✔ 123″）

• 变化 > 6666：显示 “✔ ==> ?”

• 无变化：显示 “end!”

• 📊 时间延迟检测：响应时间 > 3s 时标记 “Time > 3s”

• 📊 错误模式识别：内置 70+ 种 SQL 错误模式正则表达式

• 📊 结果显示顺序：✔ 长度差值 Err Time > 3s

• 响应有变化时：优先在结果中注入 ✔，表示响应变化异常，而后显示具体差值，如果变化超出 6666 则显示为 ✔ ==> ?

• 检测页面报错：内置大量报错匹配正则表达式，精准匹配页面报错信息，检测到时在结果中注入提示词：Err

• 检测响应时长：当响应时间超过3秒时，在结果中注入提示词：Time > 3s

5. 数据处理优化

• 🔧 自动去重机制：基于请求特征 MD5 去重，避免重复测试

• 🔧 白名单处理：

• 域名白名单：排除特定域名的检测

• 参数白名单：排除特定参数名的检测

• 🔧 静态文件过滤：自动跳过图片、CSS、JS 等静态资源

6. Payload 自定义管理

• 📂 外部文件支持：从 ~/xlzsql.txt 加载自定义 payload
• 📂 内置默认 payload：8 条基础 SQL 测试 payload
• 📂 实时编辑：插件中直接编辑 payload 列表
• 📂 保存/重载：支持保存到文件并实时重载

03

下载地址

https://github.com/AnQuanPig/XiaSQL_Plus

交流群

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀利猪安全 犀利猪《XiaSQLPlus｜我认为这是二开瞎注xiasql插件中的最强版本》