0x1、注入类型

1、id=1' no -----> 存在注入可能
2、id=1'' no ----->数字型注入 id=1 and 1=1
3、id=1'' ok ----->字符型注入 id=1' and 1=1 --+

区别：

数字型不需要闭合单引号
字符型需要闭合单引号（如上）

0x2、是否存在注入

情况一

1、id=1' error
2、id=1' and 1=1 -- ok
3、id=1' and 1=0 -- no
满足以上3点，存在注入。

情况二

username=admin&&passwd=123 ---> password error
username=admin1&&passwd=123 ---->username error
Ex

0x3、Mysql语法

order by关键字

select * from table_name order by 3——按第三列（第三个字段）排序
order by column_name asc/desc——升序/逆序

通常利用order by num和回显来判断该表有几个字段：若num=4时报错则说明该表有3个字段。

union操作符

两个查询返回的列数必须相同。
两个select语句对应列所返回的数据类型必须相同（或至少是兼容的）。

通常利用联合查询的特点，使原查询左边为空，使我们定义的查询结果返回出来。

如该表共3个字段，界面显示第2、3个字段，我们便可以构造：
select * from users where id=-1 union select 1,2,3 from users
这里的2,3可以换成任意想要的结果。

limit子句（top子句）

用于规定要返回的记录的数目：
select * from users limit 3——返回前3条
select * from users limit 1,2——返回索引1开始的前2条（索引从0开始）

concat()函数

用于连接字符串：
select concat('11','22','33')——输出"112233"
select concat_ws('-','11','22','33')——输出"11-22-33"，第一个参数是其它参数的分隔符
group_concat(column_name)——将字段的所有数据用,连接作为字符串输出

内置数据库information_schema

系统数据库information_schema数据库中含有很重要的三张表：schemata，tables和columns。

schemata表中存储了Mysql中所有数据库的信息，包括数据库名，编码类型等，show databases的结果取之此表。
tables表有schema_name一个字段，为数据库名。

tables表中存储了Mysql中所有数据库的表的信息（索引根据数据库名），show tables from schema_name的结果取之此表。
tables表有table_name和table_schema两个字段，分别为表名和表所在数据库。

columns表中存储了Mysql中所有表的字段信息，show columns from schema_name.table_name的结果取之此表。
columns表有column_name、table_name和table_schema三个字段，分别为字段名、字段所在表名和表所在数据库。

内置database()函数与select

user()——返回用户名
database()——返回数据库名
version()——返回数据库版本信息
但是没有直接返回表名的函数，所以需要通过其他方式获取表名。

在Mysql中，select就像一个前缀，python中1=1直接返回true，而Mysql则需要select 1=1返回true。
上述内置函数的用法都是select user()等，之上concat()函数同样如此。