在sql注入中,我们经常要用到group_concat()、concat()、concat_ws()这三个函数来返回我们查询的数据信息。但是你知道这三个函数的区别以及在什么情况下使用吗?
1、concat()函数
功能:将多个字符串连接成一个字符串。
语法:concat(str1, str2,...)
返回结果为连接参数产生的字符串,如果有任何一个参数为null,则返回值为null。
值得注意的是每次只返回的是一行的数据。
这里借用sqli-labs的users表演示。
我们先看看users表的结构以及都有哪些数据。
可以看到users表中有三个字段,分别为id、username、password。然后一共有13条数据。
使用concat()函数演示一下
可以看到concat()将每一次查询的id和username的值连接到一起形成一个字符串返回了,并且一共返回的是13条记录。
当concat()中有一个参数是null时,返回的都是null
2、group_concat()函数
group_concat()函数是将所有的查询结果拼接成一个字符串返回,不过在不同的字段值之间默认是用逗号隔开的
可以看到返回的值就只有一个值。
像concat()函数那样直接拼接内容,中间没有做隔离,很可能会导致我们无法判断哪些字符是属于哪一个字段的。而group_concat()函数默认是用逗号隔开两行不同查询结果的。当然也支持自己定义隔离的符号,比如
这里就是在两个字段中间也定义了隔离符号,两次不同查询结果之间还有默认的逗号隔离。这样的返回内容才能帮助我们更好的判断信息。
3、concat_ws()函数
功能:和concat()一样,将多个字符串连接成一个字符串,但是可以一次性指定分隔符(concat_ws就是concat with separator)
语法:concat_ws(separator, str1, str2, ...)
说明:第一个参数就是指定的分隔符。需要注意的是分隔符不能为null,如果为null,则返回结果为null(其他参数哪一个为null也是一样的)。
在sql注入中,我们要分情况的来使用这三个函数。
一般在注入中因为回显的位置有限,我们就会使用concat函数把不同的字段连起来,但是concat()函数一次返回的只是一行的数据,所以还需要结合limit一起使用,一个一个的遍历查看。
但是遍历查看未免太过于麻烦,这个时候group_concat()函数就体现出优势了。因为它可以把所有的查询结果集中到一起返回。这里值得注意的一点就是group_concat()函数对于返回的字符串长度是有限制的。使用
show variables like 'group_concat_max_len'
查看系统变量对返回字符串的长度限制,一般都是1024个字符长度。
以上就是我对于这三个函数在sql注入中使用的一些看法,你如果觉得还不错的话,请点个赞哟。