SQL注入——报错注入

1.何为报错注入？

报错注入是一种在SQL注入攻击中利用数据库的错误信息来获取敏感数据的技术。当网站的web服务器开启了错误回显，并且数据库执行出错时，攻击者可以通过构造特定的SQL语句，让数据库在报错信息中泄露敏感数据。

2.利用报错注入有哪些前提条件？

1. Web应用程序未关闭数据库报错函数
2. 后台未对一些具有报错功能的函数进行过滤
3. 数据库支持报错注入（并非所有数据库都支持通过报错机制来泄露敏感信息，攻击者需要确保目标数据库支持报错注入）

3.报错注入需要用到哪些函数？

注：以下以MySQL中的函数为列。

注：报错注入对数据库类型和版本有较强依赖，不清楚数据库时需要变换多种exp尝试。