文章目录
[+]
在MySQL中,等号两边如果类型不一致,则会发生逼迫转换。当数字与字符串数据比较时,字符串将被转换为数字,再进行比较,见图1。字符串1与数字相等;字符串1a被逼迫转换成1,与1相等;字符串a被逼迫转换成0以是与0相等。
图1
按照这个特性,我们随意马虎判断输入点是否为字符型,也便是是否有引号(可能是单引号也可能是双引号,绝大多数情形下是单引号)包裹。
(图片来自网络侵删)
访问http://192.168.20.133/sql2.php?id=3-2,结果见图2,页面为空,预测不是数字型,可能是字符型。连续考试测验访问http://192.168.20.133/sql2.php?id=2a,结果见图3,解释确实是字符型。
图2
图3
考试测验利用单引号来闭合前面的单引号,再用“--%20”或“%23”注释后面的语句。把稳,这里一定要URL编码,空格的编码是“%20”,“#”的编码是“%23”。
访问http://192.168.20.133/sql2.php?id=2%27%23,结果见图4。
图4
成功显示内容,此时的MySQL语句如下:
输入的单引号闭合了前面预置的单引号,输入的“#”注释了后面预置的单引号,查询语句成功实行,结果见图5。
图5
当然,除了注释,也可以用单引号来闭合后面的单引号,见图6。
图6
访问http://192.168.20.133/sql2.php?id=1'and'1,这时数据库查询语句见图7。
图7
