无垠博客

**在对MYSQL注入的基本流程讲解前先来科普一下MySQL 5.0以上和MySQL 5.0以下版本的区别**MySQL 5.0以上版本存在一个存储着数据库信息的信息数据库--INFORMATION_SCHEMA ，其中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名，数据库的表，表栏的数据类型与访问权限等。而5.0以下没有。我们常见的MySQL注入都是基于MySQL5.0以上版本的[noway]所以我们有必要在进行SQL注入时养成用version()来查看数据库版本的习惯[.

0x01 原理介绍当Web应用向后台数据库传递SQL语句进行数据库操作时。如果对用户输入的参数没有经过严格的过滤处理，那么攻击者就可以构造特殊的SQL语句，直接输入数据库引擎执行，获取或修改数据库中的数据。所以sql注入漏洞的本质将用户输入的数据当做代码来执行sql注入的两个关键条件 2.1，用户能够控制输入的内容 2.2，wed应用吧用户输入的内容带到数据库中执行sql注入的危害脱库/getshell0x02 SQL注入常用常用函数data.