sqli-labs—————SQL注入基础知识

注入的分类

基于从服务器接收到的响应

• 基于错误的SQL注入
• 联合查询的SQL注入
• 堆查询的SQL注入
• SQL盲注

            基于布尔SQL盲注
            基于时间的SQL盲注

            基于报错的SQL盲注

基于如何处理输入的SQL查询（数据类型）

• 基于字符串
• 数字或整数为基础的

基于程度和顺序的注入（哪里发生了影响）

• 一阶注入
• 二阶注入

一阶注入是指输入的注入语句对WEB直接产生了影响，出现了结果。

二阶注入类似于存储型XSS，是指输入提交的语句，无法直接对WEB应用程序产生影响，通过其他的辅助间接的对WEB产生危害，这样的就被称为二阶注入。

基于注入点的位置上的

• 通过用户输入的表单域的注入
• 通过COOKIE注入
• 通过服务器变量注入（基于头部信息的注入）

系统函数

数据库注入时常用的函数

• version()————数据库版本信息
• user（）————数据库用户名
• database（）————数据库名
• @@datadir()————数据库路径
• @@version_compile_os———操作系统版本

字符串链接函数

• concat(str1,str2,...)    没有分隔符地链接字符串
• concat_ws(separator,str1,str2,.....)     含有分隔符地链接字符串
• group_concat(str1,str2,....)    链接一个组的所有字符串，并以逗号分隔每一条数据

参考：https://blog.youkuaiyun.com/Fly_hps/article/details/80223915

一般用于尝试的语句

or 1=1--+
'or 1=1--+
"or 1=1--+
)or 1=1--+
')or 1=1--+
") or 1=1--+
"))or 1=1--+

一般的代码为：

id=id=_GET['id'];

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

此处考虑两个点：

一个是闭合前面你的’，另外一个是处理后面的’，一般采用两种思路，闭合后面的引号或者注释掉，注释掉采用 --+或者#（%23）

union操作符的介绍

union操作符用于合并两个或多个SELECT语句的结果集。请注意，UNION内部的SELECT语句必须拥有相同数量的列数。列也必须有相同的数据类型，同时，每条SELECT语句中列的顺序必须相同。

SQL union语法：

SELECT column_name(s) FROM table_name1
UNION
SELECT column_name(s) FROM table_name2
注释：默认地，UNION 操作符选取不同的值。如果允许重复的值，请使用 UNION ALL。

 注入的流程

猜数据库
select schema_name from information_schema.schemata

猜某库的数据表
select table_name from information_schema.tables where table_schema='xxxxx'

猜某表的所有列
Select column_name from information_schema.columns where table_name='xxxxx'

获取某列的内容
Select *** from ****