作者：小刚
一位苦于信息安全的萌新小白帽，记得关注给个赞，谢谢
本实验仅用于信息防御教学，切勿用于它用途

SQL注入技巧

• SQL小技巧
• 1，运算逻辑符号
• or替代
• and替代
• 异或运算符 ”^”
• 逗号
• 空格
• 等于号”=”
• 2，盲注函数被过滤
• left(str, length)
• right(str,length)
• mid(str,start,length)
• Locate(substr,str)
• position (substr IN str)
• 替代ascii
• 3，其他
• sleep过滤
• database(),version()被过滤
• 报错注入

SQL小技巧

SQL注入不会的可以阅读我的这两篇博客哦
sql手工注入
数据库类型判断
在平常的SQL注入过程中，难免会存在一些敏感函数被过滤，或者被WAF识别所拦截。所以我们可以通过其他不常用的函数来绕过过滤，实现相同的效果。在此只通过MYSQL数据库来表达意思，其他数据库自行百度谷歌。。。。。。

1，运算逻辑符号

注入过程中，用到最最最频繁的就是逻辑符号，像and 1=1、or 2>1等。当发现and，or，=等逻辑符号被过滤后我就很气愤。气愤归气愤，我们可以通过别的特殊符号来替代他们，这样就该他们气愤了，哈哈哈。。。。

or替代

当发现or被过滤时，我们可以用”||”替代

and替代

当发现and被过滤时，我们可以用”&&”替代

异或运算符 ”^”

异或运算符”^”过滤时，用”XOR”替代

逗号

逗号被过滤可以使用join函数将参数连接起来

空格

当空格被过滤删除时，使用加号 +，或者空字符串来代替
通用空字符串：%0a %0b %0c %0d %A0 %20 %09
特别注意 %A0 这个不会被php的\s进行匹配
使用内联注释也可以代替空格/**/

等于号”=”

当等于号”=”被过滤时，可以使用很多种函数替代
Between:在什么什么之间

(2) in：in常用于mysql的where表达式中来查询某个范围内的数据

(3) Like：模糊查询，可以当等于号用

(4) 使用正则代替等于号,regexp等同于rlike

2，盲注函数被过滤

在进行盲注时候，用的最多的就是substr()截取字符串，当此函数被过滤，我们可以使用其他函数截取字符串

left(str, length)

从左边length位截取字符串
select left(‘abcdefghijklmn’,8)
结果为：abcdefgh

right(str,length)

使用方法同left

mid(str,start,length)

截取字符串从start开始并截取length长度，相当于substr()

Locate(substr,str)

locate是用来返回字符串的位置
locate(substr,str)返回字符串substr中第一次出现str的位置

locate(substr,str,pos)返回字符串substr中第一次出现str的位置，从第pos个位置开始

locate()用来判断字符串长度

position (substr IN str)

position 的效果与instr()，locate()相同，但语法不同

用法：POSITION(substr IN str) 返回字符串substr中第一次出现str的位置与LOCATE(substr,str)的结果相同
例：返回字符串“d”自一次出现的位置
SELECT position("d"in’www.baidu.com’);
结果：8

替代ascii

Hex()，Bin()，Ord()

字符串截取函数在mysql中有许多，主要利用得当，一样可以达到盲注的效果

3，其他

sleep过滤

当sleep函数被过滤，可以使用benchmark函数。他是指执行某函数的次数，次数多了照样实现sleep函数相同的时间延迟。

database(),version()被过滤

当database(),concat()函数被过滤，可以在名和括号之间加入特殊字符，例如

报错注入

报错注入是利用某些函数报错，来爆出所需要的内容，可以阅读此文章来了解报错注入：
报错注入