先说明下这个注射的中心思路:无论用什么方法,就是想办法让sql程序在编译时候出错。(大家开始可能不知道什么意思,下面我会说清楚,大家带着这个思想去了解,印象会深点,了解之后,就相当难忘了)
还有,这个having 1=1 和group by 使用的条件就是网站是会返回错误信息的,就是所谓的显错模式。
好 下面来说group by 和having 1=1 是的语法规则
GROUP BY 子句
GROUP BY 子句指定查询结果的分组条件。其语法如下:
GROUP BY
group_by_expression
参数说明如下:
group_by_expression:指明分组条件group_by_expression 通常是一个列名。
使用时,group by 后面的列名数要和前面的列名数要一致(注意哦仔细看),就是说前面有几个列,后面就要有几个列,除了用聚合函数的列可以不用
比如:
没有使用聚合函数:
select 列名1,列名2,... from admin where id>0 group by 列名1,列名2,...
这里group by 后面的列数就要和前面一致了。
使用聚合函数:
select 列名1,sum(列名2) from admin where id>0 group by 列名1
这里的sum(列名2)可以不用,就这样
哦,说到聚合函数,我插一些内容
聚合函数有 sum(求和),avg(求平均值),max(最大值),min(最小值),count(数量) 好像就这些,哈
having子句
HAVING 子句指定分组搜索条件。HAVING 子句通常与GROUP BY 子句一起使用。
having的用法其时和where差不多,就是加了一个查询时的限制条件,其区别在于其作用的对象不同。WHERE 子句作用于表和视图,HAVING 子句作用于组。什么意思呢
比如
select * from admin where id=1
这里就加了一个条件id=1的项
having也一样
查询有多个员工的工资不低于6000 的部门编号:
select id, count() from employee where wage >=6000 group by id having count()>1
这里如果看不懂也没关系,和后面的关系不大,最好能看懂,哈,也算是一个知道点嘛
那为什么使用having 1=1 可以爆表呢。关键来了哦,先看刚刚的原文 HAVING 子句通常与GROUP BY 子句一起使用。
因为having 要与group by 一起使用,如果不一起使用,就会出现语法错误,出现语法错误,我们的编译软件就会有错误提示,所以,当一个存在注入点时(这个注入点应该是一个mssql的,access的应该不行),一般的语句是
select 列名1,列名2,列名3 from 表名 where id=xxx
当我们在后面加上having 1=1 时,语句就变成了
select 列名1,列名2,列名3 from 表名 where id=xxx having 1=1
程序在编译时,发现没有group by
就会爆错,提示你错误地方
这里把所有的列名都爆除了,但一般在网页上只能显示一列错误信息,所以就要用到group by 把显示的去掉(减少一个语法错误地方),来显示下一个错误来爆下一个列名。
这里,少了一个admin.id的错误信息。依次类推,就可以把所有的列明都爆出来了。
扫一扫
1514
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
