关于在sqli-labs1~20中使用的注入方式原理

一.联合注入：

1. 排序：order by
基于sql语法的排序，根据by后面的数字来进行升序排序，或者通过使用desc来进行降序 排序。

2. 联合注入：union select 1，2，3 - - +
这里是基于sql语句，当通过order by已经测试出来有多少组数据之后，可以先使用union select 来查询有多少显示位，然后，通过将相应位的数字改为查询语句就可以在相应的显示位显示出想要查询的数据。
注意：只适用于有显示位的页面。
（1）.查询库：
select database()，
用来查询当前数据所在的数据库。
select group_concat(schema_name) from information_schema.schemata
查询所有数据库的名称
concat（s1,s2,…）：将字符串 s1,s2 等多个字符串合并为一个字符串
group_concat：将group by产生的同一个分组中的值连接起来，返回一个字符串结果。
information_schema：一个数据库，安装完就存在，记录了当前数据库的数据库，表，列，用户权限等信息。
schema：是information_schema数据库中的一个数据表，储存了mysql所有数据库的基本信息，包括数据库名，编码类型路径等，show databases的结果来自这个表。
（2）.查询表：
select group_concat(table_name) from information_schema.tables where table_schema='security'
查询security数据库里面所有的数据表的名称，也可以将security修改为想要查询的其他数据库名称。
tables：information_schema数据库中的一个数据表,提供了关于数据库中的表的信息（包括视图）。详细表述了某个表属于哪个schema，表类型，表引擎，创建时间等信息。show tables from schemaname的结果来自这个表。
通过使用where子句来确定想要查询的数据表来自希望中的数据库security。
（3）.查询列：
select group_concat(column_name) from infromation_schema.columns where table_schema='security' and table_name='users'
columns：infromation_schema数据库中的一个数据表，包含了表中的列信息。详细表述了某张表的所有列以及每个列的信息。show columns from schemaname.tablename的结果来自这个表。
通过where子句来确定想要查询的列名是security数据库中users数据表的列名。
（4）.查询数据：
select group_concat(username) from security.users
sql中一个简单的select语句。

二. 报错注入：

（1）.floor报错：
and (select 1 from(select count(*),concat((payload),floor(rand(0)*2))x from information_schema.tables group by x)a)
该语句输出字符长度被限制为64个字符。
floor()函数原本为向下取整，其中rand()函数为随机数生成，不能于order by共用，数据记录必须有两条以上。
mysql在遇到 select count(*) from ... group by x这语句的时候会先建立一个虚表，然后开始查询数据，取数据库数据，然后查看虚拟表存在不存在，不存在则插入新记录，存在则count(*)字段直接加1，x是sql中暂时成为查询语句的虚拟表的字段名。
and的后面加了跨度很大的括号：优先后面的注入语句执行，后面的注入语句被优先执行，本身就计算出错然后就会直接报错，那么就没有前面的select语句的什么事儿了。我们可以简单的理解为语句短路。
感谢大佬的博客：https://blog.csdn.net/cried_cat/article/details/80022378

（2）.updatexml报错：
and updatexml(1,payload,1)
该语句输出字符长度被限制为32个字符。
语句对payload的返回类型做了限制，只有在payload返回的不是xml格式才会生效，查询时使用的concat()函数是将其连成一个字符串，因此不会符合XPATH_string的格式，从而出现格式错误，出现查询结果。
可以参考我的另一篇博客sqli-labs解题大法/Less-17：https://blog.csdn.net/weixin_43733035/article/details/86561654

（3）.extractvalue()报错：
and extractvalue(1, payload)
该语句输出字符长度被限制为32个字符。

其中payload是想要输入的查询子句。
报错注入的原理：正常用户访问服务器时发送id信息返回正确的id数据。报错注入是想办法构造语句，让错误信息中可以显示数据库的内容；如果能让错误信息中返回数据库中的内容，即实现SQL注入。

三. 布尔盲注：

（1）. mid()函数
mid(striing,start,length)
（2）. substr()函数
substr(string,start,length)
（3）.left()函数
left(string,length)

string：规定要返回的字符串。
start：规定在字符串的何处开始(初始值为1)。
length：规定被返回字符串的长度(可以省略，若省略则返回剩余所有文本)。
在比较的时候可以直接使用单引号>‘s’，也可以先转换位ascii码的形式再进行比较。

布尔盲注的原理是根据页面返回的是true还是false来判断比较的字母是否正确。例如，如果数据库的第一个字母在ASCII表中小于与100相对应的字母，那么就会返回正常情况下的成功页面；如果不小于的话，就会返回错误的页面。

四. 延时注入：

sleep(n)：网页延迟n秒输出结果；
if(a,b,c)：if判断句，a为条件，b、c为执行语句；如果a为真就执行b，a为假就执行c;
length（database())：返回当前数据库名长度;
延时注入常与mid(),substr(),left()三个函数结合使用，但是由于网速等原因，自我感觉没有布尔盲注好用。
当然，有的时候使用延时注入的语句时，会出现睡眠很久，远远超过五秒，甚至是五十、一百秒的。这个暂时还不知道怎么回事，等到解决了之后会继续将这篇文章更新完善，在此之前如果大家真的遇到这件事又无法解决了，还是推荐用布尔盲注，或者有谁知道怎么回事也请留言指点。

五.堆叠注入

堆叠注入定义
多条 sql 语句一起执行。
堆叠注入原理
在SQL中，分号（;）用来表示一条sql语句的结束。如果在一条语句后继续构造下一条语句，两条语句会一起执行。而联合注入也是将两条语句合并在一起，两者间的区别就在于union 或者union all执行的语句类型是有限的，可以用来执行查询语句，而堆叠注入可以执行的是任意的语句。

例如：
用户输入：DELETE FROM products；
服务器端生成的sql语句为： Select * from products where productid=1;DELETE FROM products
当执行查询后，第一条显示查询信息，第二条则将整个表进行删除。

堆叠注入的局限性
堆叠注入的局限性在于并不是每一个环境下都可以执行，可能受到API或者数据库引擎不支持的限制，当然了权限不足也可以解释为什么攻击者无法修改数据或者调用一些程序。

虽然我们前面提到了堆叠查询可以执行任意的sql语句，但是这种注入方式并不是十分的完美的。在我们的web系统中，因为代码通常只返回一个查询结果，因此，堆叠注入第二个语句产生错误或者结果只能被忽略，我们在前端界面是无法看到返回结果的。因此，在读取数据时，建议使用union（联合）注入。同时在使用堆叠注入之前，我们也是需要知道一些数据库相关信息的，例如表名，列名等信息。
参考链接：

https://www.cnblogs.com/backlion/p/9721687.html