MySQL 运算符绕过

在PHP中:

对于select pass from user where username = {$username}的查询语句

当$username=7<0x1时,这一个比较的运算,运算结果为true\

接下来是在MySQL中:

这里先拼接一下SQL语句

select pass from user where username = 7<1

在这个语句中,SQL会先进行语法检测,检测表中是否有字段username再进行查询,由于这里有一个比较运算符,所以查询语句再执行从查询前会先进行比较运算错误就出现在比较运算中,这里比较运算错误的将username=7看做了一个字符串 ,1看作了另一个字符串,而在SQL中,比较运算符为弱比较,相当于PHP中的==运算符,他会先将两个字符串进行同类型转换,结果这里就将username = 7转换为了数字,但是由于第一个字符不是数字而是字符u,因此这里就将username=7转换为0而0是小于1的,所以运算顺序何以理解为:

username = 7<1

转换username=7这个字符串:

0<1

比较运算符运算:

true

最终的查询语句变为:

select pass from user where true

综上所述,我们就可以将这个查询语句理解为:

select pass from user where true

同时我们可以认为:

select pass from user where username = 7<1

select pass from user where 'username = 7'<1

是等价的

select pass from user where 'username = 7'>'1'

也是等价的

以下时MySQL的测试语句

复制代码
select username=7<1;#1即为true
select 'username=7'<1;#1即为true
select 'username=7'>'1';#1即为true
select '2a'<'1';#0即为false,两字符串的比较逻辑是该字符的ASCII码乘
#上该字符所在位置的下标,比方说2a的字符串'大小'是char(2)*1+char(a)*2
#'1'则是同理char(1)*1

以上仅为个人见解,如有错误还请指出更正

相关推荐
笃行35035 分钟前
从兼容到进阶:驱动直连、窗口函数与动态 SQL 实测——KingbaseES V9R3C18 深度体验(二)
数据库
笃行3501 小时前
MySQL 的 JSON 字段迁到金仓还能用吗?——KingbaseES V9R3C18 JSON 操作符与函数兼容实测
数据库
IpdataCloud2 小时前
跨境AI金融风险怎么防?IP风险画像的实战应用指南
数据库·tcp/ip·金融·ip
Alan_754 小时前
API 接口慢调用根因定位:从 TCP 建连到数据库 IO 的全栈排查实战
数据库
多巴胺梦想家5 小时前
事务与并发控制:当多人同时操作数据库
服务器·数据库·oracle
howard20055 小时前
PostgreSQL起步
数据库·postgresql
孙晓鹏life6 小时前
MySQL-Seconds_behind_master的精度误差
android·mysql·adb
秋田君6 小时前
QT_QT布局详解
开发语言·数据库·qt
m0_738120726 小时前
PHP代码审计基础——超全局变量(三)
开发语言·安全·网络安全·php