首先看看基本的数据库表结构:
文章表: id(文章id) title(文章内容) content(文章内容)
用户表: id(用户id) username(用户名) password(用户密码)
然后看看注入:
某个文章的链接如下:http://localhost/article.php?id=1,其SQL查询:select title , content from article where id=$id
那么我们的手工注入地址应该就是http://localhost/article.php?id=1 and 1=2 union select username,password from user limit 0,1
最终生成的SQL语句: select title , content from article where id=1 and 1=2 union select 2,3 from user limit 0,1、
解释下SQL语句:
UNION 操作符用于合并两个或多个 SELECT 语句的结果集,UNION 内部的 SELECT 语句必须拥有相同数量的列。列也必须拥有相似的数据类型,并且结果集中的列名总是等于 UNION 中第一个 SELECT 语句中的列名。也就是2个SQL查询的结果集会合并,并且要求字段数一样,字段类型一致,并且最终的结果字段按照第一个字段的结果集显示。
为什么上面的SQL语句增加 and 1=2,因为单个文章页只能显示一条记录,我们直接让1=2第一个SQL的结果集就是空结果集。
select 2,3是什么意思? 2,3代表user表的第2,3个字段。
为什么上面的SQL语句增加 limit 0,1,因为页面只能显示一个记录
