http://localhost/sqlilabs/Less-1/"color: #ff0000">确定存在SQL语句

使用了之前的语句不行之后，我们使用如下的语句：


http://localhost/sqlilabs/Less-1/"color: #800000">其中最关键的错误信息是：

''3'' LIMIT 0,1'


最外层的引号是mysql出错时自动加上的。那么实际的SQL语句是 '3'' LIMIT 0,1。我们发现在我们输入的3'被引号包围了，那么我们之前猜测的select username,password from table where id=input有误，实际的后台的SQL语句应该为:


select username,password from table where id='input'


SQL注入验证
在确定存在了SQL注入之后，同时知道了后台SQL写法，那么此时我们就可以注入自己的SQL注入的代码。
由于我们可以控制id的值，那么最终输入的SQL语句会变为：


select username,password from table where id='input 攻击代码'


此时我们就可以构造如下的payload来验证我们的想法。由于我们的输入是被一对单引号包裹的，所以我们输入的语句必须要能够不被单引号影响。要么闭合单引号，要么注释掉单引号。(可以参考前面的文章)


#闭合单引号
id=1 and '1' = '1 # 
#注释单引号
id=1 and 1=1 # 或者 id=1 and 1=1--+


当我们使用上面的这3个payload之后，页面显示的结果是符合预期的。那么我们也可以确定id参数确实是存在SQL注入的。后台的SQL语句的写法也的确是select username,password from table where id='input'。
在确定了SQL语句之后，接下里就是注入SQL注入代码了。
执行SQL注入
使用SQL语句来进行脱裤，这一点是十分关键的。如果仅仅是知道存在SQL注入但是无法脱裤，那么实际上这个漏洞对于该网站的危害性还是很小的。如何构造正确的SQL语句进行脱裤，这一点也是十分重要的，在下一篇文章中将会详细地讲解SQL注入的详细的步骤。
注入类型判断
在本题中的SQL语句就称之为字符型的SQL注入，因为我们的输入在SQL语句执行的过程中被单引号所包括，其实在SQL语句执行中，这个id参数被当做是一个字符类型的数据。除了有字符型的SQL注入，当然还有数字型的SQL语句。那么如何区分这两者呢？
字符型SQL注入
在确定存在SQL语句这节中，当我们输入id=3'是页面的出错信息是 '3'' LIMIT 0,1。我们发现3'被引号所包围，那么说明这个就是一个字符型的SQL注入了。
数字型SQl注入
在less-2中，当我们同样输入id=3'时，页面的出错信息是 ' LIMIT 0,1，那么就说明是一个数字型的注入了同时还存在limit关键字，那么我们猜测less-2中的SQL注入为：


select username,password from table where id=input limit 0,1


以上都可以通过查看源代码的方式来进行验证。
SQL语句判断
但是很多时候我们通过单引号的方式并不能返回sql执行语句的错误信息，就无法通过错误信息得到注入类型。因为很多时候在后台的SQL语句会有各种千奇百怪的写法。
在less-3和less-4中的写法就是如下：


$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1"


在less-3中使用了括号来包裹用户的输入


$id = '"' . $id . '"';
$sql="SELECT * FROM users WHERE id=($id) LIMIT 0,1";


在less-4中使用了双引号来包裹用户的输入，那么当你即使加上了单引号进行测试的时候还是无法出发SQL语句执行错误。


所以说很多时候仅仅使用单一的符号进行判断是完全不够的，要多使用不同类型的符号来进行测试的判断，使用包括',",\,(,=,&等等字符，甚至有时候还要使用其他的探查方法，因为你无法判断后台的SQL语句的写法，而且目前很多的网站开发人员已经有了一定的安全意识，可能常规的SQL探查语句也无法使用。关于其他跟多SQL注入的探查语句，网上有很多的资料。
总结
SQL注入的判断没有万能方法，只有不断的进行尝试，当你有了一定的经验之后，就会对注入类型有了自觉，同时对于SQL注入的判断也会更快。以上就是这篇文章的全部内容了，如果要对实际的网络中的网站进行安全测试，以上的知识是远远不够的。小编会继续更新更多sql注入的文章，请继续关注。