php上传注入教程,php注入祥解_PHP教程

本文主要是为小菜们服务的，如果你已经是一只老鸟呢，可能某些东西会感觉比较乏味，但只要你仔细的看，你会发现很多有趣的东西哦。

阅读此文你只要明白下面的这点东西就够了。

1.明白php+mysql环境是如何搭建的。

2.大概了解php和apache的配置，主要用到php.ini和httpd.conf

而此文我们主要用到的是php.ini的配置。为了安全起见我们一般都打开php.ini里的安全模式，即让safe_mode = On，还有一个就是返回php执行错误的display_errors 这会返回很多有用的信息，所以我们应该关闭之，

即让display_errors＝off 关闭错误显示后，php函数执行错误的信息将不会再显示给用户。

在php的配置文件php.ini中还有一个非常重要的配置选项magic_quotes_gpc，高版本的默认都是magic_quotes_gpc＝On，只有在原来的古董级的php中的

默认配置是magic_quotes_gpc＝Off，可是古董的东西也有人用的哦！

当php.ini中magic_quotes_gpc＝On的时候会有什么情况发生哩，不用惊慌，天是塌不下来的啦！它只是把提交的变量中所有的 ' (单引号), " (双引号), \ (反斜线) 和 空字符会自动转为含有反斜线的转义字符，例如把'变成了\',把\变成了\\。

就是这一点，让我们很不爽哦，很多时候我们对字符型的就只好说BYEBYE了，

但是不用气馁，我们还是会有好方法来对付它的，往下看咯！

3.有一定的php语言基础和了解一些sql语句，这些都很简单，我们用到的东西很少，所以充电还来的及哦！

我们先来看看magic_quotes_gpc＝Off的时候我们能干些啥，然后我们再想办法搞一搞magic_quotes_gpc＝On的情况哈

一：magic_quotes_gpc＝Off时的注入

ref="http://hackbase.com/hacker" target=_blank>攻击

magic_quotes_gpc＝Off的情况虽然说很不安全，新版本默认也让

magic_quotes_gpc＝On了，可是在很多服务器中我们还发现magic_quotes_gpc＝Off的情况，例如www.qichi.*。

还有某些程序像vbb论坛就算你配置magic_quotes_gpc＝On，它也会自动消除转义字符让我们有机可乘，所以说

magic_quotes_gpc＝Off的注入方式还是大有市场的。

下面我们将从语法，注入点 and 注入类型几个方面来详细讲解mysql＋php注入

A:从MYSQL语法方面先

1。先讲一些mysql的基本语法，算是给没有好好学习的孩子补课了哦~_~

1)select

SELECT [STRAIGHT_JOIN] [SQL_SMALL_RESULT]

select_expression,...

[INTO {OUTFILE | DUMPFILE} 'file_name' export_options]

[FROM table_references

[WHERE where_definition]

[GROUP BY col_name,...]

[ORDER BY {unsigned_integer | col_name | formula} [ASC | DESC] ,...] ; ]

常用的就是这些，select_expression指想要检索的列，后面我们可以用where来限制条件，我们也可以用into outfile将select结果输出到文件中。当然我们也可以用select直接输出

例如

mysql> select 'a';

+---+

| a |

+---+

| a |

+---+

1 row in set (0.00 sec)

具体内容请看mysql中文手册7.12节

下面说一些利用啦

看代码先

这段代码是用来搜索的哦

.........

SELECT * FROM users WHERE username LIKE ‘%$search%' ORDER BY username

.......

?>

这里我们顺便说一下mysql中的通配符，'%'就是通配符，其它的通配符还有'*'和'_',其中" * "用来匹配字段名，而" % "用来匹配字段值，注意的是%必须与like一起适用，还有一个通配符，就是下划线" _ "，它代表的意思和上面不同，是用来匹配任何单个的字符的。在上面的代码中我们用到了'*'表示返回的所有字段名，%$search%表示所有包含$search字符的内容。

我们如何注入哩？

哈哈，和asp里很相似

在表单里提交

Aabb%' or 1=1 order by id#

注：#在mysql中表示注释的意思，即让后面的sql语句不执行，后面将讲到。

或许有人会问为什么要用or 1＝1呢，看下面，

把提交的内容带入到sql语句中成为

SELECT * FROM users WHERE username LIKE ‘%aabb%' or 1=1 order by id# ORDER BY username

假如没有含有aabb的用户名，那么or 1＝1使返回值仍为真，使能返回所有值

我们还可以这样

在表单里提交

%' order by id#

或者

' order by id#

带入sql语句中成了

SELECT * FROM users WHERE username LIKE ‘% %' order by id# ORDER BY username

和

SELECT * FROM users WHERE username LIKE ‘%%' order by id# ORDER BY username

当然了，内容全部返回。

列出所有用户了哟，没准连密码都出来哩。

这里就举个例子先，下面会有更精妙的select语句出现，select实际上几乎是无处不在的哦！

2)下面看update咯

Mysql中文手册里这么解释的：

UPDATE [LOW_PRIORITY] tbl_name SET col_name1=expr1,col_name2=expr2,...

[WHERE where_definition]

UPDATE用新值更新现存表中行的列，SET子句指出哪个列要修改和他们应该被给定的值，WHERE子句，如果给出，指定哪个行应该被更新，否则所有行被更新。

详细内容去看mysql中文手册7.17节啦，在这里详细介绍的话会很罗嗦的哦。

由上可知update主要用于数据的更新，例如文章的修改，用户资料的修改，我们似乎更关心后者，因为......

看代码先哦

我们先给出表的结构，这样大家看的明白

CREATE TABLE users (

id int(10) NOT NULL auto

http://www.bkjia.com/PHPjc/629770.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/629770.htmlTechArticle本文主要是为小菜们服务的，如果你已经是一只老鸟呢，可能某些东西会感觉比较乏味，但只要你仔细的看，你会发现很多有趣的东西哦。...

本条技术文章来源于互联网，如果无意侵犯您的权益请点击此处反馈版权投诉

本文系统来源：php中文网