sql注入的学习

1.首先我们应该确定sql注入的类型

利用id=1 and 1=1 和id=1 and 1=2 判断是数字类型注入还是字符型注入，如果两者都可以正常显示界面，则为字符型注入，否则是数字型

两个都正常显示，所以为字符型注入（也可以使用id=2-1，来判断，若是显示与id=1相同，则是数字型注入，若是和id=2相同则是字符型）

2.判断完类型之后就要去找闭合方式

这一步主要是利用 ‘（单引号）和  “（双引号）来和数据库的指令中的单双引号引号形成闭合，方便我们注入自己的代码，因为不管是在指令还是代码中，像引号，括号一类的都是成对存在

我们可以将ip=x 后面添加单引号或者双引号来查看报错

可以看到添加单引号后页面提示，发生了报错

报错原因如图（因为多加了一个单引号，与之前的单引号产生了闭合，从而多出来一个单引号，所以我们需要在id=1’ 后加上指令，从而避免出现这种情况）

3.获取数据库，表名，列名，因为我们想要拿到管理员的账号密码，所以我们需要找到账号密码的存放位置，而在这之前，我们就要想办法找到表名，列名，而获取的的方法就是 猜

这里可以看到没有报错，而是提示列不同（最后实际是  --空格，用来忽略之后的所有指令，防止数据库中代码对我们的指令有影响，但是由于是ul，所以空格变+）

然后我们继续猜,但是要动脑子去猜，如果说他有几十列，我们不可能挨个去试，所以人还是要多读书，此时，我们就可以采取二分法，我们往大的猜，一半一半的缩小范围，专业又高效,但是这里并不是直接去更改select后的数字，而是利用数据库本身的代码order by（排序）去钻个空子

下面依次是对第十列，第五列和第三列进行排序，可以看到第三列正常显示，由此可以判断出这个表有三列

利用这个我们直接查询1,2,3列

到那时我们发现前端的显示没有任何变化，原因是在mysql的联合查询中，如果前面条件为真，则后面条件不生效，如果前面条件为假，则后面条件生效，所以此时我们需要更改前方的id=1为id=-1，因为id肯定不存在-1的，这样后面的指令就可以执行

index.php?id=-1' union select  1,2,3--+(也可以将数字换成version（），查询版本号)

通过更改，我们已经拿到了数据库名 security

可以看到security库中包含的内容，其中information为默认数据库包含着该库的所有信息（列，表等），所以我们借用informaton来查询我们需要的信息

 group_concat()是mysql的一个分组合并函数，通过这个函数可以把查询出来的表合并到一起现实，如果没有该函数，那么返回的内容如下：

pass： 如果没有该函数，那么查询的内容将是多行，网页上面无法显示完整，故需要使用该函数；

?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users';-- +    （该指令为查询列信息使用，若是需要表细腻些，更改column为table 即可）

这样我们就拿到一些关键信息，username，password

?id=-1' union select 1,2,group_concat(username,2,password) from users;-- +

到此一切完成