通过使用UNION关键字,拼接新的SQL语句从而获得额外的内容,例如
select a,b FROM table1 UNION select c,d FROM table2,可以一次性查询 2行数据,一行是a,b,一行是c,d。
UNION查询必须满足2个条件:
- UNION连接的2个查询要返回相同的列数
- 每个查询中的每一列需要相互兼容
所以要执行UNION攻击,就要满足这2个条件,就是要解决下面的2个问题:
- 原始的查询中返回的列数是多少
- 原始查询中的那些列能够和SQL注入查询的数据列兼容
Determining the number of columns required 确定查询的列数
可以通过ORDER BY子句判断原始查询的列数,例如
' ORDER BY 1--、 ' ORDER BY 2-- 、' ORDER BY 3-- 等等,当索引超过列数时,服务器可能会报错,也可能会有不同的响应等,总之通过观察服务器响应的变化判断原始查询的列数。
也可以用 ' UNION SELECT NULL-- 、' UNION SELECT NULL,NULL-- 、' UNION SELECT NULL,NULL,NULL--等等来判断原始查询的列数,因为NULL能够和任何数据类型的类匹配,而且SELECT NULL可能会显示额外的信息,最坏的情况下,跟ORDER BY子句超过索引的报错是一样的,所以这种方法可能更有效。
Database-specific syntax 特定数据库的语法
有的数据库对语法有特定限制,例如Oracle数据中,每个查询必须有From关键字,可以利用数据内建的dual表执行联合查询。即:
'UNION SELECT NULL FROM DUAL--