updatexml()和extractvalue()报错注入原理

updatexml()函数分析

根据其名字，更新xml，说白了就是查找一个xml并替换它的名字

updatexml (XML_document, XPath_string, new_value);

第一个参数：XML_document是String格式，为XML文档对象的名称；

第二个参数：XPath_string (Xpath格式的字符串，xpath就是xml的路径)；

第三个参数：new_value，String格式，替换查找到的符合条件的数据；

返回内容：若xpath正确则返回更改对象名称，否则返回xpath错误内容

extractvalue()函数分析

这个也是找一个xml并返回内容

extractvalue (XML_document, XPath_string);

第一个参数：XML_document是String格式，为XML文档对象的名称;

第二个参数：XPath_string (Xpath格式的字符串，xpath就是xml的路径);

返回内容：若xpath正确则返回目标XML查询的结果，否则返回xpath错误内容

报错原因和利用：

1.可以看到上面两函数里都有xpath路径，而在xpath中，插入~（ASCII码是0x7e）和^（ASCII码是0x5e）等特殊字符是非法的，也就会产生报错，而这些特殊字符也恰好是报错注入的关键点，而当报错内容为SQL语句的时候，SQL那边的解析器会自动解析该SQL语句，就造成了SQL语句的任意执行。

2.知道了函数报错的原因，我们就可以利用SQL语句里面的字符串联合函数concat、group_concat等，将特殊字符跟SQL语句联合起来，产生报错，并返回SQL语句的执行结果。

就如我写过的靶场博客，很多题目用到了报错注入

简单例子：

select updatexml(1,concat(0x7e,database()),1)

select extractvalue("a",concat(0x7e,database()))