SQL注入简介

SQL注入是因为后台SQL语句拼接了用户的输入，而且Web应用程序对用户输入数据的合法性没有判断和过滤，前端传入后端的参数是攻击者可控的，攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。比如查询、删除，增加，修改数据等等，如果数据库的用户权限足够大，还可以对操作系统执行操作。

由于以下的环境都是MySQL数据库，所以先了解点MySQL有关的知识。在MySQL5.0之后，MySQL中默认添加了一个名为 information_schema 的数据库，该数据库中的表都是只读的，不能进行更新、删除和插入等操作，也不能加载触发器，因为它们实际只是一个视图，不是基本表，没有关联的文件。

mysql中注释符：# 、// 、 --**

information_schema数据库中三个很重要的表：

   information_schema.schemata: 该数据表存储了mysql数据库中的所有数据库的库名

   information_schema.tables： 该数据表存储了mysql数据库中的所有数据库的表名

   information_schema.columns: 该数据表存储了mysql数据库中的所有列的列名

mysql中比较常用的一些函数：

version()：查询数据库的版本
user()：查询数据库的使用者
database()：数据库
system_user()：系统用户名
session_user()：连接数据库的用户名
current_user：当前用户名
load_file()：读取本地文件
@@datadir：读取数据库路径
@@basedir：mysql安装路径
@@version_complie_os：查看操作系统

ascii(str) : 返回给定字符的ascii值，如果str是空字符串，返回0；如果str是NULL，返回NULL。如 ascii("a")=97

length(str) : 返回给定字符串的长度，如 length("string")=6

substr(string,start,length) : 对于给定字符串string，从start位开始截取，截取length长度 ,如 substr("chinese",3,2)="in"

substr()、stbstring()、mid() 三个函数的用法、功能均一致

concat(username)：将查询到的username连在一起，默认用逗号分隔

concat(str1,'*',str2)：将字符串str1和str2的数据查询到一起，中间用*连接

group_concat(username) ：将username数据查询在一起，用逗号连接

limit 0,1：查询第1个数 limit 1,1：查询第2个数

SQL注入分类

一.按照注入点类型来分类

（1）数字型注入点

类似结构 http://xxx.com/users.php?id=1 基于此种形式的注入，一般被叫做数字型注入点，缘由是其注入点 id 类型为数字，在大多数的网页中，诸如查看用户个人信息，查看文章等，大都会使用这种形式的结构传递id等信息，交给后端，查询出数据库中对应的信息，返回给前台。这一类的 SQL 语句原型大概为 select * from 表名 where id=1 若存在注入，我们可以构造出类似与如下的sql注入语句进行爆破：

select * from 表名 where id=1 and 1=1

（2）字符型注入点

类似结构 http://xxx.com/users.php?name=admin 这种形式，其注入点 name 类型为字符类型，所以叫字符型注入点。这一类的 SQL 语句原型大概为 select * from 表名 where name=‘admin’ 值得注意的是这里相比于数字型注入类型的sql语句原型多了引号，可以是单引号或者是双引号。若存在注入，我们可以构造出类似与如下的sql注入语句进行爆破：

select * from 表名 where name=‘admin’ and 1= ‘1’

（3）搜索型注入点

这是一类特殊的注入类型。这类注入主要是指在进行数据搜索时没过滤搜索参数，一般在链接地址中有 “keyword=关键字” ,有的不显示在的链接地址里面，而是直接通过搜索框表单提交。此类注入点提交的 SQL 语句，其原形大致为：select * from 表名 where 字段 like ‘%关键字%’ 若存在注入，我们可以构造出类似与如下的sql注入语句进行爆破：

select * from 表名 where 字段 like ‘%测试%’ and ‘%1%’=‘%1%’

二. 按照数据提交的方式来分类

（1）GET 注入

提交数据的方式是 GET , 注入点的位置在 GET 参数部分。比如有这样的一个链接http://xxx.com/news.php?id=1 , id 是注入点。

（2）POST 注入

使用 POST 方式提交数据，注入点位置在 POST 数据部分，常发生在表单中。

（3）Cookie 注入

HTTP 请求的时候会带上客户端的 Cookie, 注入点存在 Cookie 当中的某个字段中。

（4）HTTP 头部注入(XFF注入、UA注入、REFERER注入)

注入点在 HTTP 请求头部的某个字段中。比如存在 User-Agent 字段中。严格讲的话，Cookie 其实应该也是算头部注入的一种形式。因为在 HTTP 请求的时候，Cookie 是头部的一个字段。

三. 按照执行效果来分类

（1）基于布尔的盲注

即可以根据返回页面判断条件真假的注入。

（2）基于时间的盲注

即不能根据页面返回内容判断任何信息，用条件语句查看时间延迟语句是否执行（即页面返回时间是否增加）来判断。

（3）基于报错注入

即页面会返回错误信息，或者把注入的语句的结果直接返回在页面中。

（4）联合查询注入

可以使用union的情况下的注入。

（5）堆查询注入

可以同时执行多条语句的执行时的注入。

（6）宽字节注入

宽字节注入主要是源于程序员设置数据库编码与 php 编码设置为不同的两个编码，这样就可能会产生宽字节注入。GBK 占用两字节，ASCII 占用一字节。PHP 中编码为 GBK，函数执行添加的是 ASCII 编码（添加的符号为‚\‛），MYSQL 默认字符集是 GBK 等宽字节字符集。输入%df%27,本来\ 会转义%27（’），但\（其中\的十六进制是 %5C）的编码位数为 92，%df 的编码位数为 223，%df%5c 符合 gbk 取值范围（第一个字节 129-254，第二个字节 64-254），会解析为一个汉字‚運‛，这样\就会失去应有的作用