声明：文章是转载别人的，不完整，因为只能看懂到这里……后面明白了会继续整理的

mysql的注入，关键是要找到注入点，对注入点进行处理，该闭合的引号、括号要先闭合，然后注释掉多余的语句

一、几种闭合方法：

一般来说，程序员在书写select语句时，会对传入的变量进行一些处理，常见的有如下几种，这里以php为例，假设传输进来的变量为‘$id‘’,其他后端语言也相同。

select*fromtableswhereid=$id; #这种情况下，$id变量多为数字型 不需要闭合符号，可以直接注入，但如果系统做了只能传入数字型的判断，就无法注入

select*fromtableswhereid='$id'; #这种情况下，$id变量多为字符型 需要闭合单引号，可以用?id=1'这种形式闭合

select * from tables where id="$id"; #这种情况下，$id变量多为字符型 需要闭合双引号，可以用?id=1"这种形式闭合

select * from tables where id=($id); #这种情况下，$id变量多为数字型 需要闭合括号，可以用?id=1)这种形式闭合

select * from tables where id=('$id'); #这种情况下，$id变量多为字符型 需要同时闭合单引号和括号，可以用?id=1')这种形式闭合

select * from tables where id=("$id"); #这种情况下，$id变量多为字符型 需要同时闭合双引号和括号，可以用?id=1")这种形式闭合

select * from tables where id=(('$id')); #这种情况下，$id变量多为字符型 需要同时闭合单引号和两层括号，可以用?id=1'))这种形式闭合

有些语句还有limit子句，如select * from tables where id='$id' limit 0,1;，我们可以通过上面提到的方法先闭合单引号，然后用%23，即注释符注释掉后面的语句，具体写法如下：?id=1'%23；即可闭合输出正确的语句

*注：这里只列举几种常见的写法，可以结合实际情况，进行闭合符号，没有什么固定的方式，但最终达到一个目的就好了，就是闭合语句中可能有的符号，注释掉我们不需要或者可能会限制我们继续注入的部分。使得我们注入这些闭合原有语句的符号后，得到的语句还是正确并且可被执行的。

二、手工注入

第一步：找到注入点

在变量可控的部分加入一些符号，查看页面是否正常，例如：

有这么一个网站www.example.com/index.php?id=1

可以看到，这里的id变量是用户可控的，可以在id=1后加一个单引号，变成id=1' 。页面如果报错多了一个单引号，那么说明可能存在注入点。

也可以在id=1后通过and符号多增加多个判断，如果‘id=1 and 1=1’页面正常，‘id=1 and 1=2’时页面不正常，则这个页面边可能存在注入。

这里为什么一直说可能呢？因为有些页面可能在返回结果出做过滤，虽然你这里带入数据库是可以被查询的，但无法返回，是否可以利用需要结合具体情况对待，也有可能是被重定向进入到一个蜜罐中，故意放行，捕获入侵行为，但这个一般不会碰到。

第二步：就是闭合语句

参照最开始提出的几种闭合方法，对语句进行闭合。这里不再赘述，这里特别说一下注释掉不需要语句的问题。

如果在第一步的数据库报错中出现了limit附近的语法错误，一般来说，原有语句中的这个limit我们是无法利用的，多半可能会导致我们的闭合无法完成，而且为了后续便于我们遍历数据库，我们需要注入一个我们可控的limit子句，所以需要注释掉原有语句的limit子句，防止冲突。可以使用%23（#），--%20

%23这些数据库注释符号，进行注释。举个例子：

有这么一个网站：www.example.com/index.php?id=1

他在数据中的查询语句是select * from table where id='$id' limit 0,1;

那么我们注入的语句就可以是?id=1' %23

这个时候，带入到数据库查询的语句就变成了select * from table where id='$id' #' limit 0,1;

#会把后面的语句注释掉，然后我们得到实际执行的语句就成了select * from table where id='$id';

还要说一下，我们在注入的时候，为什么使用的%23而不是#呢，因为由于编码的问题，在浏览器中直接提交#会变成空，所以我们使用url编码后的#，即%23，当传输到后端时，后端语言会对它自动解码成#，才能够成功带入数据库查询。

第三步：经过前面两步，我们已经通过闭合和注释，构造出了一段空白区域，这段空白区域可以使得我们注入查询语句并得以带入执行。

前两步的工作非常重要，如果不做前面两步，或者前面两步做不好，在这一步时，你就还要去调整语句，那么一长串的报错，会很奔溃，所以我特别推荐，先去做前两步，使得语句该闭合的闭合，该注释的注释，那么注入的闭合符号和注释符号之间就是我们的注入地带。会为接下来的步骤省去很多精力。