盲注
按照前面的学习,如果每个应用程序都能按照我们输入的SQL命令返回我们需要的数据,那应用程序就无安全性可言了!为此,程序设计者们想到一个办法,那就是无论输入何种命令,只要SQL语句导致数据库产生错误,那么应用程序就会返回一个“通用的”的页面,或者重定向一个通用页面(可能为网站首页)。这时,我们之前学习的SQL注入办法就无法使用了。
盲注,即在SQL注入过程中,SQL语句执行选择后,选择的数据不能回显到前端,我们需要使用一些特殊的方法进行判断或尝试,这个过程称为盲注。
盲注分为三类:
- 基于布尔型SQL盲注;
- 基于时间型SQL盲注;
- 基于错误型SQL盲注;
mysql数据库字符串截取函数
接下来,我们一个一个介绍这三个字符串截取函数。
①mid()函数
语法为:
mid(string,start,length)
其中,每个参数的含义如下:
- string(必需)规定要返回其中一部分的字符串。
- start(必需)规定开始位置(起始值是 1)。
- length(可选)要返回的字符数。如果省略,则 mid() 函数返回剩余文本。
②substr()函数
语法为:
substr(string,start,length)
其中,每个参数的含义如下:
- string(必需)规定要返回其中一部分的字符串。
- start(必需)规定在字符串的何处开始。
- length(可选)规定被返回字符串的长度。
③left()函数
语法为:
left(string,length)
其中,每个参数的含义如下:
- string(必需)规定要返回其中一部分的字符串。
- length(可选)规定被返回字符串的前length长度的字符。