前言

　　2003年開始，喜歡腳本攻擊的人越來越多，而且研究ASP下注入的朋友也逐漸多了起來，我看過最早的關(guān)于SQL注入的文章是一篇99年國外的高手寫的，而現(xiàn)在國外的已經(jīng)爐火純青了，國內(nèi)才開始注意這個技術(shù)，由此看來，國內(nèi)的這方面的技術(shù)相對于國外還是有一段很大差距，話說回來，大家對SQL注入攻擊也相當(dāng)熟悉了，國內(nèi)各大站點都有些堪稱經(jīng)典的作品，不過作為一篇完整的文章，我覺得還是有必要再說說其定義和原理。如果哪位高手已經(jīng)達(dá)到爐火純青的地步，不妨給本文挑點刺。權(quán)當(dāng)指點小弟。

關(guān)于php+Mysql的注入

　　國內(nèi)能看到php+Mysql注入的文章可能比較少，但是如果關(guān)注各種WEB程序的漏洞，就可以發(fā)現(xiàn)，其實這些漏洞的文章其實就是一個例子。不過由于國內(nèi)研究php的人比研究ASP的人實在少太多，所以，可能沒有注意，況且php的安全性比ASP高很多，導(dǎo)致很多人不想跨越這個門檻。
　　盡管如此，在php站點日益增多的今天，SQL注入仍是最有效最麻煩的一種攻擊方式，有效是因為至少70% 以上的站點存在SQL Injection漏洞，包括國內(nèi)大部分安全站點，麻煩是因為MYSQL4以下的版本是不支持子語句的，而且當(dāng)php.ini里的 magic_quotes_gpc 為On 時。提交的變量中所有的 ' (單引號), " (雙引號), / (反斜線) and 空字符會自動轉(zhuǎn)為含有反斜線的轉(zhuǎn)義字符。給注入帶來不少的阻礙。
　　早期的時候，根據(jù)程序的代碼，要構(gòu)造出沒有引號的語句形成有效的攻擊，還真的有點困難，好在現(xiàn)在的技術(shù)已經(jīng)構(gòu)造出不帶引號的語句應(yīng)用在某些場合。只要有經(jīng)驗，其實構(gòu)造有效的語句一點也不難，甚至成功率也很高，但具體情況具體分析。首先要走出一個誤區(qū)。

注：在沒有具體說明的情況下，我們假設(shè)magic_quotes_gpc均為off。

php+Mysql注入的誤區(qū)

　　很多人認(rèn)為在php+MYSQL下注入一定要用到單引號，或者是沒有辦法像MSSQL那樣可以使用“declare @a sysname select @a=<command> exec master.dbo.xp_cmdshell @a”這類的命令來消除引號，其實這個是大家對注入的一種誤解或這說是對注入認(rèn)識上的一種誤區(qū)。
　　為什么呢？因為不管在什么語言里，在引號（包括單雙）里，所有字符串均是常量，即使是dir這樣的命令，也緊緊是字符串而已，并不能當(dāng)做命令執(zhí)行，除非是這樣寫的代碼：

　　否則僅僅只是字符串，當(dāng)然，我們所說的命令不單指系統(tǒng)命令，我們這里說的是SQL語句，要讓我們構(gòu)造的SQL語句正常執(zhí)行，就不能讓我們的語句變成字符串，那么什么情況下會用單引號？什么時候不用呢？看看下面兩句SQL語句：

　　兩種寫法在各種程序中都很普遍，但安全性是不同的，第一句由于把變量$id放在一對單引號中，這樣使得我們所提交的變量都變成了字符串，即使包含了正確的SQL語句，也不會正常執(zhí)行，而第二句不同，由于沒有把變量放進(jìn)單引號中，那我們所提交的一切，只要包含空格，那空格后的變量都會作為SQL語句執(zhí)行，我們針對兩個句子分別提交兩個成功注入的畸形語句，來看看不同之處。

　　看出來了嗎？由于第一句有單引號，我們必須先閉合前面的單引號，這樣才能使后面的語句作為SQL執(zhí)行，并要注釋掉后面原SQL語句中的后面的單引號，這樣才可以成功注入，如果php.ini中magic_quotes_gpc設(shè)置為on或者變量前使用了addslashes()函數(shù)，我們的攻擊就會化為烏有，但第二句沒有用引號包含變量，那我們也不用考慮去閉合、注釋，直接提交就OK了。
　　大家看到一些文章給出的語句中沒有包含單引號例如pinkeyes的《php注入實例》中給出的那句SQL語句，是沒有包含引號的，大家不要認(rèn)為真的可以不用引號注入，仔細(xì)看看phpBB的代碼，就可以發(fā)現(xiàn)，那個$forum_id所在的SQL語句是這樣寫的：

　　由于沒有用單引號包含變量，才給pinkeyes這個家伙有機可乘，所以大家在寫php程序的時候，記得用單引號把變量包含起來。當(dāng)然，必要的安全措施是必不可少的。

簡單的例子

　　先舉一個例子來給大家了解一下php下的注入的特殊性和原理。當(dāng)然，這個例子也可以告訴大家如何學(xué)習(xí)構(gòu)造有效的SQL語句。
　　我們拿一個用戶驗證的例子，首先建立一個數(shù)據(jù)庫和一個數(shù)據(jù)表并插入一條記錄，如下：

　　驗證用戶文件的代碼如下：

　　這時我們提交：

　　就會返回：

　　看到了嗎？單引號閉合后，并沒有注釋掉后面的單引號，導(dǎo)致單引號沒有正確配對，所以由此可知我們構(gòu)造的語句不能讓Mysql正確執(zhí)行，要重新構(gòu)造：

　　這時顯示“登陸成功”，說明成功了?；蛘咛峤唬?/P>

　　這樣就把后面的語句給注釋掉了！說說這兩種提交的不同之處，我們提交的第一句是利用邏輯運算，在ASP中運用可以說是非常廣泛的，這個不用說了吧？第二、三句是根據(jù)mysql的特性，mysql支持/*和#兩種注釋格式，所以我們提交的時候是把后面的代碼注釋掉，值得注意的是由于編碼問題，在IE地址欄里提交#會變成空的，所以我們在地址欄提交的時候，應(yīng)該提交%23，才會變成#，就成功注釋了，這個比邏輯運算簡單得多了，由此可以看出php比ASP強大靈活多了。
　　通過上面的例子大家應(yīng)該對php+MYSQL的注入有個感性的認(rèn)識了吧？

語句構(gòu)造

　　php+MYSQL注入的博大精深不僅僅體現(xiàn)在認(rèn)證體系的饒過，語句的構(gòu)造才是最有趣味的地方，但構(gòu)造語句和ACCESS、MSSQL都有少許不同，但同樣可以發(fā)揮得淋漓盡致。看下面的例子。

一、搜索引擎

　　網(wǎng)上有一大堆的php程序搜索引擎是有問題的，也就是提交特殊字符可以顯示所有記錄，包括不符合條件的，其實這個危害也不算大，因為允許用戶輸入關(guān)鍵字進(jìn)行模糊查詢的地方大多數(shù)都允許檢索所有的記錄。很多查詢的設(shè)計就是這樣的。
　　查詢是只讀的操作應(yīng)該不會對數(shù)據(jù)產(chǎn)生破壞作用，不要太擔(dān)心。不過泄露隱私不知道算不算危害，下面是一個標(biāo)準(zhǔn)的搜索引擎：

　　一般程序都是這樣寫的，如果缺乏變量檢查，我們就可以改寫變量，達(dá)到“注入”的目的，盡管沒有危害，當(dāng)我們輸入“___” 、“.__ ”、“%”等類似的關(guān)鍵字時，會把數(shù)據(jù)庫中的所有記錄都取出來。如果我們在表單提交：

　　SQL語句就被改變成下面的樣子了，

　　就會列出所有記錄，包括被隱藏的，還可以改變排列順序。這個雖然危害不大，也算是注入的一種方式了吧？

二、查詢字段

　　查詢字段又可以分成兩種，本表查詢和跨表查詢，這兩種查詢和ACCESS、MSSQL差不多，甚至更強大、更靈活、更方便。不知道為什么就是有人認(rèn)為比ASP難？我們在ASP中經(jīng)常使用的個別函數(shù)在php里要有小小的改動，如下：

① 本表查詢

　　看下面一條SQL語句，多用在論壇或者會員注冊系統(tǒng)查看用戶資料的，

　　當(dāng)我們提交的用戶名為真時，就會正常返回用戶的ID，如果為非法參數(shù)就會提示相應(yīng)的錯誤，由于是查詢用戶資料，我們可以大膽猜測密碼就存在這個數(shù)據(jù)表里（現(xiàn)在我還沒有碰見過密碼是單獨存在另一個表的程序），記得剛才的身份驗證程序嗎？和現(xiàn)在的相比，就少了一個AND條件，如下：

　　相同的就是當(dāng)條件為真時，就會給出正確的提示信息，如果我們構(gòu)造出后面的AND條件部分，并使這部分為真，那我們的目的也就達(dá)到了，還是利用剛才建立的user數(shù)據(jù)庫，用戶名為angel，密碼為mypass，
看了上面的例子，應(yīng)該知道構(gòu)造了吧，如果我們提交：

　　這個是絕對為真的，因為我們這樣提交上面的SQL語句變成了下面的樣子：

　　但在實際的攻擊中，我們是肯定不知道密碼的，假設(shè)我們知道數(shù)據(jù)庫的各個字段，下面我們就開始探測密碼了，首先獲取密碼長度：

　　在ACCESS中，用LEN()函數(shù)來獲取字符串長度，在MYSQL中，要使用LENGTH()，只要沒有構(gòu)造錯誤，也就是說SQL語句能正常執(zhí)行，那返回結(jié)果無外乎兩種，不是返回用戶ID，就是返回“該記錄不存在”。當(dāng)用戶名為angel并且密碼長度為6的時候返回真，就會返回相關(guān)記錄，是不是和ASP里一樣？再用LEFT()、RIGHT()、MID()函數(shù)猜密碼：

　　看，密碼不是出來了嗎？簡單吧？當(dāng)然實際情況會有不少條件限制，下面還會講到這個例子的深入應(yīng)用。

② 跨表查詢

　　這部分就和ASP有點出入了，除了一定要用UNION連接兩條SQL語句，最難掌握的就是字段的數(shù)量，如果看過MYSQL參考手冊，就知道了在 SELECT 中的 select_expression (select_expression 表示你希望檢索的列[字段]) 部分列出的列必須具有同樣的類型。第一個 SELECT 查詢中使用的列名將作為結(jié)果集的列名返回。簡單的說，也就是UNION后面查選的字段數(shù)量、字段類型都應(yīng)該與前面的SELECT一樣，而且，如果前面的SELECT為真，就同時返回兩個SELECT的結(jié)果，當(dāng)前面的SELECT為假，就會返回第二個SELECT所得的結(jié)果，某些情況會替換掉在第一個SELECT原來應(yīng)該顯示的字段，如下圖：

　　看了這個圖直觀多了吧？所以應(yīng)該先知道前面查詢表的數(shù)據(jù)表的結(jié)構(gòu)。如果我們查詢兩個數(shù)據(jù)表的字段相同，類型也相同，我們就可以這樣提交:

　　如果字段數(shù)量、字段類型任意一個不相同，就只能搞清除數(shù)據(jù)類型和字段數(shù)量，這樣提交：

　　否則就會報錯：

　　如果不知道數(shù)據(jù)類型和字段數(shù)量，可以用1來慢慢試，因為1屬于int/str/var類型，所以我們只要慢慢改變數(shù)量，一定可以猜到的。如果不能馬上理解上面的理論，后面有很詳細(xì)的例子。
　　我們看看下面的數(shù)據(jù)結(jié)構(gòu)，是一個簡單的文章數(shù)據(jù)表。

　　這個表的字段類型分別是int、varchar、text，如果我們用UNION聯(lián)合查詢的時候，后面的查詢的表的結(jié)構(gòu)和這個一樣。就可以用“SELECT *”，如果有任何一個不一樣，那我們只能用“SELECT 1,1,1,1……”了。

　　下面的文件是一個很標(biāo)準(zhǔn)、簡單的顯示文章的文件，很多站點都是這種頁面沒有過濾，所以成為最明顯的注入點，下面就拿這個文件作為例子，開始我們的注入實驗。

正常情況下，我們提交這樣的一個請求：

　　就會顯示articleid為1的文章，但我們不需要文章，我們需要的是用戶的敏感信息，就要查詢user表，現(xiàn)在是查詢剛才我們建立的user表。
　　由于$id沒有過濾給我們制造了這個機會，我們要把show.php文件中的SQL語句改寫成類似這個樣子：

　　由于這個代碼是有單引號包含著變量的，我們現(xiàn)在提交：

　　按道理說，應(yīng)該顯示用戶表的username、password兩個字段的內(nèi)容才對啊，怎么正常顯示文章呢？如圖：

　　其實，我們提交的articleid=1是article表里存在的，執(zhí)行結(jié)果就是真了，自然返回前面SELECT的結(jié)果，當(dāng)我們提交空的值或者提交一個不存在的值，就會蹦出我們想要的東西：

　　如圖：

　　現(xiàn)在就在字段相對應(yīng)的地方顯示出我們所要的內(nèi)容。如果還不清楚思路以及具體的應(yīng)用，后面還會講到一些高級的技巧。

三、導(dǎo)出文件

　　這個是比較容易構(gòu)造但又有一定限制的技術(shù)，我們經(jīng)常可以看見以下的SQL語句：

　　但這樣的語句，一般很少用在程序里，有誰會把自己的數(shù)據(jù)導(dǎo)出呢？除非是備份，但我也沒有見過這種備份法。所以我們要自己構(gòu)造，但必須有下面的前提條件：

• 必須導(dǎo)出到能訪問的目錄，這樣才能下載。
• 能訪問的目錄必須要有可寫的權(quán)限，否則導(dǎo)出會失敗。
• 確保硬盤有足夠的容量能容下導(dǎo)出的數(shù)據(jù)，這個很少見。
• 確保要已經(jīng)存在相同的文件名，會導(dǎo)致導(dǎo)出失敗，并提示：“File 'c:/file.txt' already exists”，這樣可以防止數(shù)據(jù)庫表和文件例如/etc/passwd被破壞。

　　我們繼續(xù)用上面的user.php和show.php兩個文件舉例，如果一個一個用戶猜解實在是太慢了，如果對方的密碼或者其他敏感信息很復(fù)雜，又不會寫Exploit，要猜到什么時候??？來點大范圍的，直接導(dǎo)出全部數(shù)據(jù)好了。user.php文件的查詢語句，我們按照into outfile的標(biāo)準(zhǔn)格式，注入成下面的語句就能導(dǎo)出我們需要的信息了：

　　知道怎么樣的語句可以實現(xiàn)我們的目的，我們就很容易構(gòu)造出相應(yīng)的語句：

　　出現(xiàn)了錯誤提示，但從返回的語句看來，我們的SQL語句確實是注入正確了，即使出現(xiàn)錯誤，也是查詢的問題了，文件還是乖乖的被導(dǎo)出了，如圖：

　　由于代碼本身就有WHERE來指定一個條件，所以我們導(dǎo)出的數(shù)據(jù)僅僅是滿足這個條件的數(shù)據(jù)，如果我們想導(dǎo)出全部呢？其實很簡單，只要使這個WHERE條件為假，并且指定一個成真的條件，就可以不用被束縛在WHERE里了，來看看經(jīng)典1=1發(fā)揮作用了：

　　實際的SQL語句變?yōu)椋?/P>

　　這樣username的參數(shù)是空的，就是假了，1=1永遠(yuǎn)是真的，那or前面的WHERE就不起作用了，但千萬別用and哦，否則是不能導(dǎo)出全部數(shù)據(jù)的。
　　既然條件滿足，在這種情況下就直接導(dǎo)出所有數(shù)據(jù)！如圖：

　　但是跨表的導(dǎo)出文件的語句該怎么構(gòu)造呢？還是用到UNION聯(lián)合查詢，所以一切前提條件都應(yīng)該和UNION、導(dǎo)出數(shù)據(jù)一樣，跨表導(dǎo)出數(shù)據(jù)正常情況下應(yīng)該相下面的一樣：

　　這樣可以導(dǎo)出文件了，如果我們要構(gòu)造就提交：

　　文件是出來了，可是有一個問題，由于前面的查詢articleid='1'為真了，所以導(dǎo)出的數(shù)據(jù)也有整個文章的一部分，如圖：

　　所以我們把應(yīng)該使前面的查詢語句為假，才能只導(dǎo)出后面查詢的內(nèi)容，只要提交：

　　這樣才能得到我們想要的資料：

　　值得注意的是想要導(dǎo)出文件，必須magic_quotes_gpc沒有打開，并且程序也沒有用到addslashes()函數(shù)，還有不能對單引號做任何過濾，因為我們在提交導(dǎo)出路徑的時候，一定要用引號包含起來，否則，系統(tǒng)不會認(rèn)識那是一個路徑，也不用嘗試用char()或者什么函數(shù)，那是徒勞。

INSERT

　　如果大家認(rèn)為MYSQL中注入僅僅適用于SELECT就大錯特錯了，其實還有兩個危害更大的操作，那就是INSERT和UPDATE語句，這類例子不多，先面先說說INSERT，這主要應(yīng)用于改寫插入的數(shù)據(jù)，我們來看個簡單而又廣泛存在的例子，看看下面的數(shù)據(jù)結(jié)構(gòu)：

　　其中的userlevel代表用戶的等級，1是普通用戶，2是普通管理員，3是超級管理員，一個注冊程序默認(rèn)是注冊成普通用戶，如下：

　　默認(rèn)userlevel字段是插入1，其中的變量都是沒有經(jīng)過過濾就直接寫入數(shù)據(jù)庫的，不知道大家有什么想法？對，就是直接注入，使我們一注冊就是超級管理員。我們注冊的時候，構(gòu)造$homepage變量，就可以達(dá)到改寫的目的，指定$homepage變量為：

　　插入數(shù)據(jù)庫的時候就變成：

　　這樣就注冊成為超級管理員了。但這種利用方法也有一定的局限性，比如，我沒有需要改寫的變量如userlevel字段是數(shù)據(jù)庫的第一個字段，前面沒有地方給我們注入，我們也沒有辦法了。
或許INSERT還有更廣泛的應(yīng)用，大家可以自行研究，但原理都是一樣的。

UPDATE

　　和INSERT相比，UPDATE的應(yīng)用更加廣泛，如果過濾不夠，足以改寫任何數(shù)據(jù)，還是拿剛才的注冊程序來說，數(shù)據(jù)結(jié)構(gòu)也不變，我們看一下用戶自己修改自己的資料，SQL語句一般都是這樣寫的：

　　用戶可以修改自己的密碼和主頁，大家有什么想法？總不至于還是提升權(quán)限吧？程序中的SQL語句又沒有更新userlevel字段，怎么提升啊？還是老辦法，構(gòu)造$homepage變量, 指定$homepage變量為：

　　整個SQL語句就變成這樣：

　　我們是不是又變成超級管理員了？程序不更新userlevel字段，我們自己來。
還有更加絕的，直接修改任意用戶的資料，還是剛才的例句，但這次安全一點，使用MD5加密：

　　盡管密碼被加密了，但我們還是可以構(gòu)造我們需要的語句，我們指定$password為：

　　這時整個語句變?yōu)椋?/P>

　　這樣就更改了更新的條件，我管你后面的代碼是不是在哭這說：我們還沒有執(zhí)行啊。當(dāng)然，也可以從$id下手，指定$id為：

　　這時整個語句變?yōu)椋?/P>

　　照樣也可以達(dá)到修改的目的，所以說注入是非常靈活的技術(shù)。如果有些變量是從數(shù)據(jù)庫讀取的固定值，甚至用$_SESSION['username']來讀取服務(wù)器上的SESSION信息時，我們就可以在原來的WHERE之前自己構(gòu)造WHERE并注釋掉后面的代碼，由此可見，靈活運用注釋也是注入的技巧之一。這些技巧把注入發(fā)揮得淋漓盡致。不得不說是一種藝術(shù)。
　　變量的提交方式可以是GET或POST，提交的位置可以是地址欄、表單、隱藏表單變量或修改本地COOKIE信息等，提交的方式可以是本地提交，服務(wù)器上提交或者是工具提交，多種多樣就看你如何運用了。

高級應(yīng)用

1、 使用MYSQL內(nèi)置函數(shù)

　　我們在ACCESS、MSSQL中的注入，有很多比較高級的注入方法，比如深入到系統(tǒng)，猜中文等，這些東西，在MYSQL也能很好得到發(fā)揮，其實在MYSQL有很多內(nèi)置函數(shù)都可以用在SQL語句里，這樣就可以使我們能在注入時更靈活，得到更多關(guān)于系統(tǒng)的信息。有幾個函數(shù)是比較常用的：

　　各個函數(shù)的具體作用大家可以查閱MYSQL手冊，比如下面這句UPDATE：

　　我們可以指定$title為以上的各個函數(shù)，因為沒有被引號包含，所以函數(shù)是能正確執(zhí)行的：

　　靈活運用MYSQL內(nèi)置的函數(shù)，可以獲得不少有用的信息，比如數(shù)據(jù)庫版本、名字、用戶、當(dāng)前數(shù)據(jù)庫等，比如前面跨表查詢的例子，提交：

　　可以看到一篇文章，我們怎么樣才能知道MYSQL數(shù)據(jù)庫的相關(guān)信息呢？同樣也是用MYSQL內(nèi)置函數(shù)配合UNION聯(lián)合查詢，不過相比之下就簡單得多了，甚至還可以讀取文件！既然要用到UNION，同樣要滿足UNION的條件――字段數(shù)、數(shù)據(jù)類型相同。如果我們知道了數(shù)據(jù)結(jié)構(gòu)，直接構(gòu)造：

　　就可以返回當(dāng)前數(shù)據(jù)庫名和數(shù)據(jù)庫版本，構(gòu)造是比較容易的。
　　下面附上一段由我好友Super?Hei寫的代碼，可以把字符串轉(zhuǎn)換為ASCII代碼。感謝提供。

2、不加單引號注入

注：現(xiàn)在我們假設(shè)magic_quotes_gpc為on了。

　　眾所周知，整形的數(shù)據(jù)是不需要用引號引起來的，而字符串就要用引號，這樣可以避免很多問題。但是如果僅僅用整形數(shù)據(jù)，我們是沒有辦法注入的，所以我需要把我們構(gòu)造的語句轉(zhuǎn)換成整形類型，這個就需要用到CHAR()，ASCII(),ORD(),CONV()這些函數(shù)了，舉個簡單的例子：

　　如何使$username不帶引號呢？很簡單我們這樣提交就可以了。

　　其他函數(shù)大家自己去測試好了，但是前提就如上面所說的，我們可以構(gòu)造的變量不被引號所包含才有意義，不然我們不管構(gòu)造什么，只是字符串，發(fā)揮不了作用，比如前面猜密碼的例子(user,php)，我們把查詢條件改為userid：

　　按照正常的，提交：

　　就可以查詢userid為1的用戶資料，因為1是數(shù)字，所以有沒有引號都無所謂，但是如果我們構(gòu)造：

　　絕對錯誤，因為mypass是字符串，除非提交：

　　由于magic_quotes_gpc打開的關(guān)系，這個是絕對不可能的。引號會變成/'，我們有什么辦法可以把這些字符串變成整形數(shù)據(jù)嗎？就是用CHAR()函數(shù)，如果我們提交：

　　正常返回，實踐證明，我們用CHAR()是可行的，我們就把CHAR()用進(jìn)LEFT函數(shù)里面逐位猜解！

　　正常返回，說明userid為1的用戶，password字段第一位是char(109)，我們繼續(xù)猜：

　　又正常返回，說明正確，但這樣影響到效率，既然是整形，我們完全可以用比較運算符來比較：

　　然后適當(dāng)調(diào)整char()里面的數(shù)字來確定一個范圍，很快就可以猜出來，到了后面的時候，還是可以用比較運算符來比較：

　　而原來已經(jīng)猜好的不用改變了，很快就可以猜完：

　　然后在mysql>命令提示符下或者在phpMyadmin里面執(zhí)行：

　　就會返回：mypass

　　當(dāng)然也可以使用SUBSTRING(str,pos,len)和MID(str,pos,len)函數(shù)，從字符串 str 的 pos 位置起返回 len 個字符的子串。這個和ACCESS是一樣的。還是剛才的例子，我們猜password字段的第三位、第四位試試，第三位是p，第四位是a，我們這樣構(gòu)造：

　　我們要的結(jié)果就迸出來了。當(dāng)然，如果覺得麻煩，還可以用更簡單的辦法，就是利用ord()函數(shù)，具體作用可以去查看MYSQL參考手冊，該函數(shù)返回的是整形類型的數(shù)據(jù)，可以用比較運算符進(jìn)行比較、當(dāng)然得出的結(jié)果也就快多了，也就是這樣提交：

　　這樣我們就得出結(jié)果了，然后我們再用char()函數(shù)還原出來就好了。至于其他更多函數(shù)，大家可以自己去試驗，限于篇幅也不多說了。

3、快速確定未知數(shù)據(jù)結(jié)構(gòu)的字段及類型

　　如果不清楚數(shù)據(jù)結(jié)構(gòu)，很難用UNION聯(lián)合查詢，這里我告訴大家一個小技巧，也是非常有用非常必要的技巧，充分發(fā)揮UNION的特性。
　　還是拿前面的show.php文件做例子，當(dāng)我們看到形如xxx.php?id=xxx的URL的時候，如果要UNION，就要知道這個xxx.php查詢的數(shù)據(jù)表的結(jié)構(gòu)，我們可以這樣提交來快速確定有多少個字段：

　　有多少個“1”就表示有多少個字段，可以慢慢試，如果字段數(shù)不相同，就肯定會出錯，如果字段數(shù)猜對了，就肯定會返回正確的頁面，字段數(shù)出來了，就開始判斷數(shù)據(jù)類型，其實也很容易，隨便用幾個字母代替上面的1，但是由于magic_quotes_gpc打開，我們不能用引號，老辦法，還是用char()函數(shù)，char(97)表示字母“a”，如下：

　　如果是字符串，那就會正常顯示“a”，如果不是字符串或文本，也就是說是整形或布爾形，就會返回“0”，如圖：

　　判斷最主要靠什么？經(jīng)驗，我以前一直都說，經(jīng)驗很重要，豐富經(jīng)驗?zāi)芨玫淖鞒稣_的判斷，因為程序的代碼是千變?nèi)f化的，我們這里是只是舉個最簡單的例子，這里由于局限性，程序都是我自己寫、自己測試的。方法因程序而異。希望大家在實戰(zhàn)中，注意區(qū)別，不要照搬，靈活運用才是根本。

4、猜數(shù)據(jù)表名

　　在快速確定未知數(shù)據(jù)結(jié)構(gòu)的字段及類型的基礎(chǔ)上，我們又可以進(jìn)一步的分析整個數(shù)據(jù)結(jié)構(gòu)，那就是猜表名，其實使用UNION聯(lián)合查詢的時候，不管后面的查詢怎么“畸形”，只要沒有語句上的問題，都會正確返回，也就是說，我們可以在上面的基礎(chǔ)上，進(jìn)一步猜到表名了，比如剛才我們提交：

　　返回正常的內(nèi)容，就說明這個文件查詢的表內(nèi)是存在3個字段的，然后我們在后面加入from table_name，也就是這樣：

　　如果這個表是存在的，那么同樣會返回應(yīng)該顯示的內(nèi)容，如果表不存在，當(dāng)然就會出錯了，所以我的思路是先獲得有漏洞的文件所查詢表的數(shù)據(jù)結(jié)構(gòu)，確定結(jié)果后再進(jìn)一步查詢表，這個手工操作是沒有效率的問題的，不到一分鐘就可以查詢到了，比如我們在測試www.***bai.NET就是這樣，后面的實例會涉及到。
　　但是有一個問題，由于很多情況下，很多程序的數(shù)據(jù)表都會有一個前綴，有這個前綴就可以讓多個程序共用一個數(shù)據(jù)庫。比如：

　　如果安全意識高的話，管理員會加個表名前綴，那猜解就很麻煩了，不過完全可以做一個表名列表來跑。這里就不多說了，后面會有一個具體的例子來解開一切迷茫^_^……

實例

　　下面對一個國內(nèi)非常出名的站點進(jìn)行善意的攻擊測試，來對上面的知識進(jìn)行一次大概的驗證，出于影響等諸多因素，我們稱這個站點為HB(www.***bai.NET)，HB使用的是夜貓的文章系統(tǒng)和下載系統(tǒng)，不過文章系統(tǒng)已經(jīng)升級了，我們就不看了，下載系統(tǒng)是絕對有問題的，不過由于我現(xiàn)在寫文章的電腦不上網(wǎng)，我用相同的下載系統(tǒng)在本地進(jìn)行一次模擬的測試。實際上，我事前早用更狠毒的技術(shù)滲透過HB。
　　首先我們找到有問題的文件，show.php?id=1，我們馬上看看數(shù)據(jù)結(jié)構(gòu)和表名，看看HB有沒有改字段和表名，我早知道夜貓下載系統(tǒng)1.0.1版的軟件信息的表有19個字段，就提交：

　　注意，這里有19個“1”，返回正常的頁面，我可以可以肯定字段沒有變，我們也就別拖拉了，直接看看夜貓的默認(rèn)用戶數(shù)據(jù)表是否存在：

　　正常返回，如圖，如果URL不清楚可以看標(biāo)題那里：

　　嗯，這個HB還真是夠懶的，這么爛的程序也不知道先修改一下再用，不過也是，沒有多少人和我一樣有閑心先去加固程序才用的，再看默認(rèn)的用戶id還在不在？

　　忘記了，就算不存在id為1的用戶，前面的查詢是真的，照樣會正常返回數(shù)據(jù)庫的軟件信息，我們只能讓前面的查詢?yōu)榧?，才能使后面查詢的結(jié)果顯示出來，但我們要注意一點，show.php文件里面有這樣一段代碼：

　　也就是說我們的ID的值再怎么離譜也不能在0和999999999之外，HB的軟件肯定不會超過10000個的，我們就提交：

　　正常返回了，表格里的數(shù)據(jù)全部是“1”，說明ID還在哦。如果不存在的話，頁面只返回的數(shù)據(jù)全部是不詳，因為程序的判斷是如果數(shù)據(jù)為空就顯示不詳。現(xiàn)在確定了ID存在后，還要確定是不是管理員才行啊：

　　程序規(guī)定groupid為1是超級管理員，既然都返回正確信息了，我們就直接構(gòu)造畸形語句，暴出我們需要的用戶名和密碼，嘿嘿，首先看看ymdown表的數(shù)據(jù)結(jié)構(gòu)，因為show.php是查詢它的，所以我們應(yīng)該看它的數(shù)據(jù)結(jié)構(gòu)。

　　用戶名和密碼的數(shù)據(jù)類型都是varchar，所以我們要選擇ymdown表里數(shù)據(jù)類型是varchar來，如果把varchar的數(shù)據(jù)寫到int的地方當(dāng)然是不可能顯示的了，由于updatetime（更新日期）的長度是20，可能會出現(xiàn)顯示不完全的情況，我們就把用戶名顯示在name（軟件標(biāo)題）那里，密碼顯示在size（文件大小）那里好了，在19個“1”中，name和size分別是第二個和第四個，我們提交：

　　結(jié)果成功返回了我們所需要的用戶名和密碼，如圖：

驗證測試結(jié)果

　　整個滲透過程就結(jié)束了，不過由于黑白把入口給改了，無法登陸，但我們僅僅測試注入，目的已經(jīng)達(dá)到了，就沒有必要進(jìn)后臺了，我后來又繼續(xù)構(gòu)造SQL語句來驗證我們獲取的密碼是否正確，依次提交：

　　用select char(49,50,51,52,53,54)就可以得到123456。
　　OK！測試結(jié)束，驗證我們的結(jié)果沒有錯誤。說明一下，密碼本身是123456，可以不用ord()函數(shù)而直接猜，但為了大家能看到一個完整的過程，我還是“專業(yè)”一點好了。下面補一幅截圖，是本文寫完后，重新測試HB時截取的：

注入的防范

　　防范可以從兩個方面著手，一個就是服務(wù)器，二個就是代碼本身，介紹服務(wù)器配置的文章很多了，無非就是把magic_quotes_gpc設(shè)置為On，display_errors設(shè)置為Off，這里也就不在多說，既然本文接觸都是程序的問題，我們還是從程序本身尋找原因。
　　如果說php比ASP易用，安全，從內(nèi)置的函數(shù)就可以體現(xiàn)出來。如果是整形的變量，只需使用一個intval()函數(shù)即可解決問題，在執(zhí)行查詢之前，我們先處理一下變量，如下面的例子就是很安全的了：

　　或者這樣寫：

　　不管如何構(gòu)造，最終還是會先轉(zhuǎn)換為整形猜放入數(shù)據(jù)庫的。很多大型程序都是這樣寫，非常簡潔。
　　字符串形的變量也可以用addslashes()整個內(nèi)置函數(shù)了，這個函數(shù)的作用和magic_quotes_gpc一樣，使用后，所有的 ' (單引號), " (雙引號), / (反斜線) and 空字符會自動轉(zhuǎn)為含有反斜線的溢出字符。而且新版本的php，就算magic_quotes_gpc打開了，再使用addslashes()函數(shù)，也不會有沖突，可以放心使用。例子如下：

　　或者這樣寫：

　　使用addslashes()函數(shù)還可以避免引號配對錯誤的情況出現(xiàn)。而剛才的前面搜索引擎的修補方法就是直接把“_”、“%”轉(zhuǎn)換為“/_”“/%”就可以了，當(dāng)然也不要忘記使用addslashes()函數(shù)。具體代碼如下：

　　不用像ASP那樣，過濾一點變量，就要寫一大堆的代碼，就是上面的一點點代碼，我們就可以把本文所有的問題解決了，是不是很簡便？

后記

　　這篇文章是我自2004年3月份以來利用課余時間學(xué)習(xí)研究的，5月中旬寫完，里面的所有東西都是經(jīng)過我親自測試的，本文僅僅算是技術(shù)總結(jié)吧，還有很多技術(shù)難點沒有解決的，因此錯漏是難免的，歡迎請大家指正。
　　還有不少危險性極高的東西，只要少數(shù)條件成立，一般都可以進(jìn)入服務(wù)器，考慮到嚴(yán)重性和廣泛性，我并沒有寫出來，我個人估計，不久將會出現(xiàn)php+MYSQL注入的一系列工具，技術(shù)也會普及和告訴發(fā)展。但我建議大家一定要弄清楚原理，工具只是武器，技術(shù)才是靈魂，工具只是提高效率罷了，并不代表你的技術(shù)高超。
　　大家看到這篇文章的時候，估計我已經(jīng)高考完了，暑假我會寫一篇更深入的研究。
　　為了讓更多人了解并掌握php+MYSQL的注入技術(shù)，我才寫了這篇文章，并決定發(fā)表，再重申一次。不要對任何國家的任何合法主機進(jìn)行破壞，否則后果自負(fù)。

php技術(shù)：php SQL Injection with MySQL，轉(zhuǎn)載需保留來源！

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請第一時間聯(lián)系我們修改或刪除，多謝。