通过使用UNION关键字，拼接新的SQL语句从而获得额外的内容，例如

select a,b FROM table1 UNION select c,d FROM table2，可以一次性查询 2行数据，一行是a，b，一行是c，d。

 UNION查询必须满足2个条件：

• UNION连接的2个查询要返回相同的列数
• 每个查询中的每一列需要相互兼容

所以要执行UNION攻击，就要满足这2个条件，就是要解决下面的2个问题：

• 原始的查询中返回的列数是多少
• 原始查询中的那些列能够和SQL注入查询的数据列兼容

Determining the number of columns required 确定查询的列数

可以通过ORDER BY子句判断原始查询的列数，例如

' ORDER BY 1--、 ' ORDER BY 2-- 、' ORDER BY 3-- 等等，当索引超过列数时，服务器可能会报错，也可能会有不同的响应等，总之通过观察服务器响应的变化判断原始查询的列数。

也可以用 ' UNION SELECT NULL-- 、' UNION SELECT NULL,NULL-- 、' UNION SELECT NULL,NULL,NULL--等等来判断原始查询的列数，因为NULL能够和任何数据类型的类匹配，而且SELECT NULL可能会显示额外的信息，最坏的情况下，跟ORDER BY子句超过索引的报错是一样的，所以这种方法可能更有效。

Database-specific syntax 特定数据库的语法

有的数据库对语法有特定限制，例如Oracle数据中，每个查询必须有From关键字，可以利用数据内建的dual表执行联合查询。即：

'UNION SELECT NULL FROM DUAL--