SQL注入简单总结

一、SQL注入是什么

SQL注入即：是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。

本质上来说 SQL注入就是 将用户输入的数据当作代码来执行

这其中包含两个关键的条件：1、用户能够控制输入 2、原本程序要执行的代码拼接了用户输入的数据。

二、SQL注入会在那些地方出现

如图总结一句话：一切可以与数据库进行交互的地方

三、SQL注入的分类

根据数据的传输方式

GET类型 POST类型 COOKIE类型

根据数据的类型

数字型字符型

根据注入的模式

基于联合查询的注入模式基于报错的注入模式基于布尔的盲注基于时间的盲注推查询的注入模式

四、SQL注入的一般步骤

注：根据注入类型的不同步骤也会有不同

以下是联合查询会经常用到的语句要记一下

例如：

select table_name from information_schema.tables where table_schema ='lizhi';//查询名为‘lizhi’的数据库的所有表
select column_name from information_schema.columns where table_schema ='lizhi' and 'table_name'= 'lizhi_jett'//查询名为‘lizhi’的数据库中的名为‘lizhi_jett’的表中的所有列名

SQL注入读写文件的根本条件：

数据库允许导入导出（secure_file_priv）
当前用户文件操作权限（File_priv）

五、实战演练

（不管何种注入模式最开始都要先判断是否存在注入）

1、基于联合查询的注入

查列数

id=1 order by 4 --+

报错即没有这么多列我们可以将4改为3 2 1以此类推根据回显得出有几列

得到列数后我们需要知道那几列可以回显那么我们可以根据回显看是第几列可以回显这个时候我们只需要把回显的列数字改为我们想要查询的数据如database() 就可以知道数据库名了

id=1 and 1=2 union select 1,2,3,4 --+

知道数据库名了我们就可以查表了

例如：数据库名为 lizhi 那么我们就可以用查询语句查出来我们的表名

id=1 and 1 = 2 union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema = 'lizhi'

表名知道了我们就可以查列名

例如：表名为lizhi_jett

id=1 and 1=2 union select 1,group_concat(column_name),3,4 from information.schema.column where table_schema='lizhi' and table_name='lizhi_jett' --+

求字段内容

例如：列名分别为 name password email

id=1 and 1=2 union select 1,group_concat(name,0x23,password),3,4 from lizhi.lizhi_jett --+

2、基于报错的注入

页面有报错信息时优先考虑使用报错注入

常用的报错函数

实例

SQL注入——sqli-labs第五关_sql注入第五关-CSDN博客

重点也是floor报错注入

select count(),(floor(rand(0)2))x from table group by x

利用 select count(),(floor(rand(0)2))x from table group by x，导致数据库报错，通过 concat 函数，连接注入语句与 floor(rand(0)*2)函数，实现将注入结果与报错信息回显的注入方式。

关键函数说明

1.rand函数

rand() 可以产生一个在0和1之间的随机数。

可见，直接使用rand函数每次产生的数都不同，但是当提供了一个固定的随机数的种子0之后

值就固定了也可以称之为伪随机（产生的数据都是可预知的）

**2.floor（rand（0）*2）函数**

floor() 函数的作用就是返回小于等于括号内该值的最大整数。

而rand() 是返回 0 到 1 之间的随机数，那么floor（rand（0））产生的数就只是0，无法产生报错。

因为我们刚才也看了 rand(0)出来的数字是固定的且是0~1之间 floor函数是向下取整 这样我们就只能得到0
所以我们使用了floor (rand(0)*2)来让我们的返回值不全为0

3.group by 函数

group by 主要用来对数据进行分组（相同的分为一组）。

首先我们在查询的时候是可以使用as（as可省略）用其他的名字代替显示的：

然后就可以用group by函数进行分组，并按照x进行排序
注意：最后x这列中显示的每一类只有一次，前面的a的是第一次出现的id值

**4.count（*）函数**

count（*）统计结果的记录数。

与group by结合使用看一下：

是对重复性的数据进行了整合，然后计数，后面的x就是每一类的数量。

综合使用产生报错：

select count(*),floor(rand(0)*2) x from users group by x;

按照我们刚才对函数的理解这句语句应该执行后是出现 0 1 1 0 1 1然后被分组后只有0 1 然后被计数所以应该呈现给我们的表为

0 2
1 4

但是最后却报错了

报错分析

这个整合然后计数的过程中，中间发生了什么我们是必须要明白的。首先mysql遇到该语句时会建立一个虚拟表。该虚拟表有两个字段，一个是分组的 key ，一个是计数值 count()。也就对应于实验中的 user_name 和 count()。然后在查询数据的时候，首先查看该虚拟表中是否存在该分组，如果存在那么计数值加1，不存在则新建该分组。
然后mysql官方有给过提示，就是查询的时候如果使用rand()的话，该值会被计算多次，那这个"被计算多次"到底是什么意思，就是在使用group by的时候，floor(rand(0)*2)会被执行一次，如果虚表不存在记录，插入虚表的时候会再被执行一次，我们来看下floor(rand(0)*2)报错的过程就知道了，从上面的函数使用中可以看到在一次多记录的查询过程中floor(rand(0)*2)的值是定性的，为011011 (这个顺序很重要)，报错实际上就是floor(rand(0)2)被计算多次导致的。

我们还原一下具体的查询过程：

建立虚拟表取第一条记录执行floor(rand(0)*2)的时候发现结果为0（这里取前6次的数作为实验数据前六次为 0 1 1 0 1 1）
这个时候查询虚拟表发现0的键值不存在此时要插入键值则会再次执行floor(rand(0)*2) 注意这个时候取到的值就变为1了所以1 作为键值插入了虚拟表

PS：不知道为什么又执行了一次的话再好好看一下报错分析