mysql注入

1、用户权限查询数据库分类

root用户：最高权限用户，可以查看所有数据库，可跨库查询、注入
普通用户：仅可查询当前自己所属的数据库

2、跨库注入

利用information_schema表特性，记录库名、表名、列名对应表，常常结合where table_name = ‘表名’ and table_schema = ‘数据库名’、from mysql.admin类似这样的限制条件。

3、文件读写操作

3.1函数（mysql独有）

load_file()：读取函数

mysql> select load_file('d:/123.txt');

into outfile或 into dumpfile：写入函数

mysql> select '123' into outfile 'd:/123.txt';

注意：查看secure_file_priv 的存储位置为D:\，所以读取或写入文件只能在D盘进行，在其他盘会报错。

mysql> show variables like '%secure%';
+------------------+-------+
| Variable_name    | Value |
+------------------+-------+
| secure_auth      | OFF   |
| secure_file_priv | D:\   |
+------------------+-------+
2 rows in set (0.00 sec)

4、获取路径常见方法

报错显示

在谷歌浏览器搜索：inurl:相关网址 warning，例如：inurl:edu.cn warning，找一些学校网站的报错信息
遗留文件

同样的，搜索：inurl:遗留文件，例如：inurl:phpinfo.php
漏洞报错

根据平台的漏洞来获取报错信息，通常在网址后面加上一些漏洞路径，可以通过网上搜索平台的漏洞
爆破（一般用不到）

5、绕过魔术引号

5.1什么是魔术引号：

当打开，所有的’(单引号)，"（双引号）， \ （反斜线）和NULL 字符都会被自动加上一个反斜线进行转义。
这和addslashes()作用完全相同。

它其实是一种对防护mysql注入的防护机制

注意：本特性已自 PHP5.3.0起废弃并将自PHP5.4.0起移除。

5.2魔术引号指令

magic_quotes_gpc影响到HTTP请求数据（GET,POST和COOKIE）。不能在运行时改变。
在PHP中默认值为on。参见get_magic_quotes_gpc()。
magic_quotes_runtime 如果打开的话，
大部份从外部来源取得数据并返回的函数，
包括从数据库和文本文件，所返回的数据都会被反斜线转义。
该选项可在运行的时改变，在 PHP 中的默认值为 off。
参见 set_magic_quotes_runtime() 和 get_magic_quotes_runtime()。
magic_quotes_sybase 如果打开的话，将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖
magic_quotes_gpc。如果同时打开两个选项的话，单引号将会被转义成 ‘’。
而双引号、反斜线和 NULL 字符将不会进行转义。如何取得其值参见 ini_get()。

5.3为什么要用魔术引号

是为了阻止SQL 注入。在今天，开发者能够更好得意识到了安全问题，
并最终使用数据库转移机制或者 prepared 语句来取代魔术引号功能。

帮助了新手在不知不觉中写出了更好（更安全）的代码。
但是在处理代码的时候，最好是更改你的代码而不是依赖于魔术引号的开启。

5.4为什么弃用魔术引号

可移植性：编程时认为其打开或并闭都会影响到移植性。可以用get_magic_quotes_gpc()来检查是否打开，并据此编程。
性能：由于并不是每一段被转义的数据都要插入数据库的，如果所有进入PHP的数据库都被转义的话，
那么会对程序的执行效率产生一定的影响。在运行时调用转义函数（如 addslashes()）更有效率。
尽管 php.ini-dist 默认打开了这个选项，但是 php.ini-recommended 默认却关闭了它，主要是出于性能的考虑。
不便：由于不是所有数据都需要转义，在不需要转义的地方看到转义的数据就很烦。
比如说通过表单发送邮件，结果看到一大堆的 '。针对这个问题，可以使用 stripslashes() 函数处理。