SQL注入中的一些原理笔记(手工注入)

(基于布尔注入):where语句中的  'or 1=1 --'这个语句 意思是永恒为真 过程是拿着where 后面的条件每一行去对比,为真就输出此行数据.

代码:select 列参数 from 数据表 where 列参数 = '$查询参数'

(基于时间盲注):与基于错误信息的注入相对立,没有报错信息,只能通过时间 '  and sleep(5)--' 看时间变化看是否有注入点

布尔盲注可以使用ASCII()和SUBSTR()的方式来猜解每一个表和每一个数据库和每一个字段的名字,通过返回TRUE或者FALSE的信息;(基于布尔盲注)

在MYSQL中 查看当前数据库用select database();查看所有数据库用show databases; 查看当前数据库中的表用show tables;查看表中的内容用describe table_name;查看表中数据用select * from table_name;