堆叠查询注入攻击之结构理论

堆叠查询注入介绍

Stacked injections:堆叠注入。从名词的含义就可以看到应该是一堆sql语句（多条）一起执行。而在真
实的运用中也是这样的，我们知道在mysql中，主要是命令行中，每一条语句结尾加 ; 表示语句结束。
这样我们就想到了是不是可以多句一起使用。这个叫做stacked injection。 在SQL中，分号（;）是用来
表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句，会不会一起执行？
因此这个想法也就造就了堆叠注入。而union injection（联合注入）也是
将两条语句合并在一起，两者之间有什么区别么？区别就在于union 或者union all执行的语句类型是有
限的，可以用来执行查询语句，而堆叠注入可以执行的是任意的语句。

使用的条件

堆叠注入的使用条件十分有限，其可能受到API或者数据库引擎，又或者权限的限制只有当调用数据库
函数支持执行多条sql语句时才能够使用，利用mysqli_multi_query()函数就支持多条sql语句同时执行，
但实际情况中，如PHP为了防止sql注入机制，往往使用调用数据库的函数是mysqli_ query()函数，其
只能执行一条语句，分号后面的内容将不会被执行，所以可以说堆叠注入的使用条件十分有限，一旦能
够被使用，将可能对网站造成十分大的威胁。

什么是API：

API，英文全称Application Programming Interface，翻译为“应用程序编程接口”。是一些预先定义
的函数，目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力，而又无需访问源码，
或理解内部工作机制的细节。——百度百科

堆叠查询注入攻击构造

正常sql语句：Select * from users where id=’1’’;

注入sql语句：Select * from users where id=’1’;select if(length(database())>5,sleep(5),1)%23;

Payload= ‘;select if(length(database())>5,sleep(5),1)%23

Payload= ‘;select if(substr(user(),1,1)=‘r’,sleep(3),1)%23 如此句：从堆叠注入语句中可以看出，第二条SQL语句
(select if(substr(user(),1,1)=‘r’,sleep(3),1)%23就是时间盲注的语句。

堆叠注入和union的区别在于，union后只能跟select，而堆叠后面可以使用insert，update， create，delete等常规数据库语句。