浅谈PHP+MYSQL的注入技术原理

hgtspace

注入这个词自从数据库与动态脚本诞生至今日，现在Injection的思想已经不仅仅限于SQL当中，File Include，Command Execution等等，已经延伸到了WEB入侵的各种手段中。
我想要说的并不是如何去注入一个网站，而是注入的原理。
以php+MySQL为例来讲述注入是如何发生的

我们首先来看一个网址的构造：
xxoo.com / info.php ? articleid = 123
这里是域名   脚本文件名  变量名     变量的取值
脚本执行读取数据库操作的时候，会根据变量取值的不同，读取不同的数据，像这种体现在URL上面的取值方式叫做GET取值

当articleid变量取值为123时，我们假设一下在服务器中会有怎样的代码运行？


        SELECT * /* Select函数读取信息 */
        FROM infotable /* 从products数据表中 */
        WHERE id='123';/* false condition满足条件时 */

    /*XXXX*/是注释符号，当程序运行时，/**/和中间的部分计算机会自动忽略。
    实际系统执行的代码是这样的：
        select * from infotable where id = '123';

    在这里，id的取值是通过url取值得来的“123”，那么如果我这样呢：
    info.php?articleid=123'
    后面多了一个单引号，那么比较一下系统原本执行的语句有什么变化：
        select * from infotable where id = 123;
        select * from infotable where id = 123';

    最后多了一个引号，语法错误。

    注：计算机编程得不到想要的结果，错误分两种，一种是语法错误，一种是逻辑错误。后面认真阅读你会慢慢明白区别开的
    这也就是为什么判断是否为注入点的第一步要在网址后面加单引号的原因了（加单引号出错不能确定网址为注入点，只是判断的一个步骤而已

    于是后面的1=1和1=2的目的也就清楚了
        select * from infotable where id = 123;
        select * from infotable where id = 123 and 1 = 1;//事实上1就是1，所以应该返回正常页面
        select * from infotable where id = 123 and 1 = 2;//事实上，计算机中1永远也不等于2，发生逻辑错误，所以返回错误页面

    手工注入通常会使用联合查询函数 union  下面讲一下union的用法
    union注入的第一步通常是猜字段数
    假设注入点是新闻页面，那么页面中执行的SQL语句就是：
        select title,date,author,news,comm from news where id = 12;

    当你进行union注入的时候，union前面的语句和union后面的语句，都是一个完整的SQL语句，是可以单独执行的语句
    但是，必须保证前后的字段数相同，例如上面这个语句
        select title,date,author,news,comm from news where id = 12;
        select title,date,author,news,comm from news where id = 12 union select name,password,3,4,5 from admin;
        //news是新闻表段，admin是管理员信息表段
        //管理员信息表段明显没有union前面news表段里面包含的字段数多所以使用数字3到5替代，数字无固定格式，可以使1 2和3，也可以是111111和4435435或者干脆用null空来代替

    所以，上面的注入语句在实际中就是这么构造：
        info.php?id=12+union+select+name,password,3,4,5+from+admin
        //SQL注入中，加号用来代表空格的意思，因为有些浏览器会自动将空格转换成%20，有碍观瞻

    如果union前面是5个，而union后面不是5个，则会发生逻辑错误，显示错误页面。
    由于程序员编写的程序我们并不知道他在数据库中设置了几个字段，所以通常我们都是先进行字段数的猜测，也就是：
        info.php?id=12+union+select+1
        info.php?id=12+union+select+1,2
        info.php?id=12+union+select+1,2,3
        info.php?id=12+union+select+1,2,3,4
        info.php?id=12+union+select+1,2,3,4,5
        //你也可以用order by来猜，用法可以自己搜一下


    一直这样猜到正确页面出来，没有了逻辑错误，也就表示字段数一致了，然后。。。后面。。。

naturally

楼主讲的很浅显易懂。
表单注入是最常见的，如果check不好，就有可能泄露公司秘密。

憨吃迷糊睡

虽然是转载，但是蛮有用的，加精以方便需要的人阅读

要是注明原文出处就更好了

希望多贴些好文章，一起学习，提高，共同进步

qigemingzi

sqlインジェクション对策已经是基础了，

qigemingzi

古老的网站和小公司或个人搞的网站，可能会出这样的问题

上官无忌

转帖都能高亮.精华 ... 这什么世界.

queryer

这个只是脚本注入最基本的基本 有更详细分析就好了 比如 真么摸索网站的架构 数据库关系之类的 再研究如何分析逻辑处理中SQL字符串拼接之类的就好了

tirasi

后面如何，也不说说。

wangn0521

为了成为是市民，在你宝地打扰了！sorry！g4mp