概述

在我们注入了SQL代码之后，存在以下两种情况：

1、如果注入的SQL代码不影响后台[数据库]的正常功能执行，那么Web应用的页面显示正确（原始页面）。
2、如果注入的SQL代码影响后台数据库的正常功能（产生了SQL注入），但是此时Web应用的页面依旧显示正常（原因是Web应用程序采取了“重定向”或“屏蔽”措施）。

这时候，我们就会产生一个疑问：我们注入的的SQL代码到底被后台数据库执行了没有？即Web应用程序是否存在SQL注入？

面对这种情况，之前讲的基于布尔的SQL盲注就很难发挥作用了（因为基于布尔的SQL盲注的前提是Web程序返回的页面存在true和false两种不同的页面）。这时，我们一般采用基于web应用响应时间上的差异来判断是否存在SQL注入，即基于时间型SQL盲注。

需要用到的知识点：

if ((exp1, exp2, exp3)：为条件判断语句。当exp1的值为true时候，返回exp2，否则返回exp3。

length(str)：返回str字符串的长度。

ASCII(str)：返回字符串str的最左面字符的ASCII代码值。如果str是空字符串，返回0。如果str是NULL，返回NULL。如select ASCII('a')返回97。

sleep(5)：数据库休眠5秒

information_schema数据表：
SCHEMATA表：提供了当前mysql实例中所有数据库的信息。是show databases的结果取之此表。
TABLES表：提供了关于数据库中的表的信息（包括视图）。详细表述了某个表属于哪个schema，表类型，表引擎，创建时间等信息。是show tables from schemaname的结果取之此表。

关键代码：

image.png

payload举例

1、判断数据库长度

id=1' and (length (database()))>3 --+

实现结果，select * from users where id='1' and (length (database()))>3 --+' limit 0,1;

最后的--+的作用：
## 使用`#`号

*   有时发现执行的sql语句中没有`#`号
*   原因是url中`#`号是用来指导浏览器动作的（例如锚点），对服务器端完全无用。
    所以，HTTP请求中不包括`#`
*   将#号改成url的编码%23就可以了

## 使用`--`和使用`--+`

*   这里发现＋号在语句中变成了空格。
    用来和后面的单引号分隔开，将后面的语句注释。

*   了解原理后便知道了`--`无法使用的原因，是因为`--`与后面的单引号连接在一起，无法形成有效的mysql语句。

*   在mysql中使用这个语句分析原因，输入后回车显示分号没有闭合

*   所以在注入时我们除了使用`--+`外，也可以使用`--'`来完成sql注入语句

2、枚举出当前数据库名

id=1'  and if(ascii(substr(database(),1,1))>116,1,sleep(5)) --+

通过ascii码枚举来猜数据库名

3、枚举当前数据库的表名

id=2' and if(ascii(substr((select table_name from information_schema.tables where table_schema = "security" limit 0,1),1,1))>102,1,sleep(5))

这里就是利用基于时间的盲注，通过mysql的内置信息数据库来枚举当前使用的数据库的表名

4、枚举当前数据表的字段名

id=1' and if(ascill(substr((select column_name from information_schema.columns where table_name = "emails" limit 0,1),1,1))>106,1,sleep(5)) --+