SQL注入是一种计算机语言,其原理是通过操作输入来修改SQL语句,从而达到执行代码对WEB服务器进行攻击的目的,就是在POST/GET web表单、输入域名或页面请求的查询字符串中插入SQL命令,最终使web服务器执行恶意命令。
SQL注入的步骤如下:
1. 判断能否进行注入:通过对比正常查询和注入查询的结果,判断该点是否可以进行注入。
2. 判断查询字段数:为了将想要的结果显示在页面上,需要用到联合查询,联合查询的条件之一是必须保证前后查询语句的字段数相等,需要判断查询的字段数。
3. 查数据库名、版本号、用户名等信息:通过联合查询,可以获取数据库的相关信息。
4. 查询表名:通过查询数据库的information_schema,可以获取数据库中所有的表名、字段名等信息。
以上信息仅供参考,如需了解更多信息,建议查阅相关书籍或咨询专业人士。
