「作者主页」:士别三日wyx
order by排序猜解列数原理详解
使用 「联合注入」(SQL注入漏洞的利用方式之一)进行脱库的时候,需要判断页面显示的 「字段」数量,也就是返回的查询结果包含几个字段,最常用的一种判断方式就是利用 order by 排序判断字段数。
一、order by的两种使用方式
首先,我们准备一个「用户表」,表的内容如下
1)按照字段名排序
order by 排序可以按照指定的「字段名」排序,我们可以指定 username 字段,让查询结果按照用户名进行排序
我们可以看到,查询结果按照字段名降序。我们可以指定任意一个「存在」的字段进行排序
2)按照索引排序
除了字段名之外, order by 还可以按照「索引」进行排序,索引就是从左至右将列名按照123排序。我们还是指定 username 字段,让查询结果按照用户名进行排序, username 是查询结果中左边第一个字段,所以对应的索引是 1
我们可以看到,按照索引排序,查询的结果同字段名排序时一样的
二、order by怎么判断字段数?
原理很简单,就是利用数据库的「报错」机制。
1)正常的排序
首先我们来模拟一下正常的「登录」登录功能的查询语句,根据用户名和密码查询用户的信息
我们可以看到,查询结果有两列,接下来我们使用 order by 对查询结果进行排序,首先根据「第一列」也就是 username 进行排序
结果没有变化,这很正常,因为查询结果只有一条数据,再怎么排序也不会发生变化。接下来再根据「第二列」也就是 password 进行排序
还是没有变化,这很正常。
3)错误的排序
上面返回的查询结果中有两个字段,也就是两列数据,所以我们根据第一列和第二列进行排序都可以正常执行,但如果我们根据「第三列」进行排序呢?
我们可以看到,数据库报错了,意思是说不认识第三列,这很正常,查询结果总共就只有两列,如果排序的列数大于两列,自然会失败。利用排序的这一特性,我们可以从第一列开始排序,而后依次按照第二列,第三列…等进行排序,哪一列开始报错,就说明字段数是 「报错列数-1」,比如第三列排序时报错,字段数就是2。