前言

在學習這篇文章之前，至于要學習了SQL注入的前提知識，可以參考之前寫的一篇sql注入之必備的基礎知識。

認識SQL注入

最開始就從最簡單的開始，進入到less-1開始我們的SQL注入學習之旅。

通過改變http://localhost/sqlilabs/Less-1/?id=3的id值，頁面上呈現(xiàn)不同的內容(username,password)。

那么我們就可以猜測在后臺中的SQL語句就是根據(jù)前臺傳入的id值來去對應的數(shù)據(jù)。

那么SQL語句的寫法為：

select username,password from table where id=input

判斷存在SQL語句

接下來進行做測試，使用以下的語句進行測試：

http://localhost/sqlilabs/Less-1/?id=3 and 1=1
http://localhost/sqlilabs/Less-1/?id=3 and 1=2

這個時候頁面沒有任何的變化，這是不和符合我們預期的結果，因為當id=3 and 1=2時，SQL語句變?yōu)?code>select username,password from table where id=3 and 1=2頁面應該不會有內容。

確定存在SQL語句

使用了之前的語句不行之后，我們使用如下的語句：

http://localhost/sqlilabs/Less-1/?id=3'

當URl是以上的SQL語句時，頁面上顯示SQL執(zhí)行錯誤信息You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''3'' LIMIT 0,1' at line 1。

其中最關鍵的錯誤信息是：

''3'' LIMIT 0,1'

最外層的引號是mysql出錯時自動加上的。那么實際的SQL語句是 '3'' LIMIT 0,1。我們發(fā)現(xiàn)在我們輸入的3'被引號包圍了，那么我們之前猜測的select username,password from table where id=input有誤，實際的后臺的SQL語句應該為:

select username,password from table where id='input'

SQL注入驗證

在確定存在了SQL注入之后，同時知道了后臺SQL寫法，那么此時我們就可以注入自己的SQL注入的代碼。

由于我們可以控制id的值，那么最終輸入的SQL語句會變?yōu)椋?/p>

select username,password from table where id='input 攻擊代碼'

此時我們就可以構造如下的payload來驗證我們的想法。由于我們的輸入是被一對單引號包裹的，所以我們輸入的語句必須要能夠不被單引號影響。要么閉合單引號，要么注釋掉單引號。(可以參考前面的文章)

#閉合單引號
id=1 and '1' = '1 # 
#注釋單引號
id=1 and 1=1 # 或者 id=1 and 1=1--+

當我們使用上面的這3個payload之后，頁面顯示的結果是符合預期的。那么我們也可以確定id參數(shù)確實是存在SQL注入的。后臺的SQL語句的寫法也的確是select username,password from table where id='input'。

在確定了SQL語句之后，接下里就是注入SQL注入代碼了。

執(zhí)行SQL注入

使用SQL語句來進行脫褲，這一點是十分關鍵的。如果僅僅是知道存在SQL注入但是無法脫褲，那么實際上這個漏洞對于該網(wǎng)站的危害性還是很小的。如何構造正確的SQL語句進行脫褲，這一點也是十分重要的，在下一篇文章中將會詳細地講解SQL注入的詳細的步驟。

注入類型判斷

在本題中的SQL語句就稱之為字符型的SQL注入，因為我們的輸入在SQL語句執(zhí)行的過程中被單引號所包括，其實在SQL語句執(zhí)行中，這個id參數(shù)被當做是一個字符類型的數(shù)據(jù)。除了有字符型的SQL注入，當然還有數(shù)字型的SQL語句。那么如何區(qū)分這兩者呢？

字符型SQL注入

在確定存在SQL語句這節(jié)中，當我們輸入id=3'是頁面的出錯信息是 '3'' LIMIT 0,1。我們發(fā)現(xiàn)3'被引號所包圍，那么說明這個就是一個字符型的SQL注入了。

數(shù)字型SQl注入

在less-2中，當我們同樣輸入id=3'時，頁面的出錯信息是 ' LIMIT 0,1，那么就說明是一個數(shù)字型的注入了同時還存在limit關鍵字，那么我們猜測less-2中的SQL注入為：

select username,password from table where id=input limit 0,1

以上都可以通過查看源代碼的方式來進行驗證。

SQL語句判斷

但是很多時候我們通過單引號的方式并不能返回sql執(zhí)行語句的錯誤信息，就無法通過錯誤信息得到注入類型。因為很多時候在后臺的SQL語句會有各種千奇百怪的寫法。

在less-3和less-4中的寫法就是如下：

$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1"

在less-3中使用了括號來包裹用戶的輸入

$id = '"' . $id . '"';
$sql="SELECT * FROM users WHERE id=($id) LIMIT 0,1";

在less-4中使用了雙引號來包裹用戶的輸入，那么當你即使加上了單引號進行測試的時候還是無法出發(fā)SQL語句執(zhí)行錯誤。

所以說很多時候僅僅使用單一的符號進行判斷是完全不夠的，要多使用不同類型的符號來進行測試的判斷，使用包括',",\,(,=,等等字符，甚至有時候還要使用其他的探查方法，因為你無法判斷后臺的SQL語句的寫法，而且目前很多的網(wǎng)站開發(fā)人員已經有了一定的安全意識，可能常規(guī)的SQL探查語句也無法使用。關于其他跟多SQL注入的探查語句，網(wǎng)上有很多的資料。

總結

SQL注入的判斷沒有萬能方法，只有不斷的進行嘗試，當你有了一定的經驗之后，就會對注入類型有了自覺，同時對于SQL注入的判斷也會更快。以上就是這篇文章的全部內容了，如果要對實際的網(wǎng)絡中的網(wǎng)站進行安全測試，以上的知識是遠遠不夠的。小編會繼續(xù)更新更多sql注入的文章，請繼續(xù)關注腳本之家。