大家好我是时光凉春衫薄 之前将讲的sql注入有点随便了我同事也觉得有些地方看不懂,往后的几天我尽量写的细一点。尽可能让大家能看懂。(新手出道大佬多多指教。欢迎评论批评。)
数据库与sql注入的相关联系
本章简介:
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
sql语句明显是针对数据库的一种操作,既然想通过sql注入的方法来拿取数据那么就要先了解一下如何的去操作数据库,这方面并不需要对数据库有多么的精通但是如果了解掌握了其中的几个关键表那么这个数据库的大门也就打开一半了。(拿mysql数据库来举例如果掌握了information_schema这个库那就代表你掌握了整个库。下面我们来理一下其中的关系)
(正文部分)
这是一个刚刚安装完的mysql的数据库,默认自带了这三个默认库。
在演示sql注入的实验 之前我们先了解一下数据库的一些知识吧。掌握原理后这样后面的一些实验步骤也可以方便的理解。(以mysql数据库举例)
首先了解一下对我们来说最重要的一个库(information_schema)这个库是整个后续试验的关键库,对所有使用mysql数据库的用户来说,这个库都是十分重要的,我们在创建其他新的库新的表新的列到最后都是和这个库有千丝万缕的联系。下面我们就来详细的介绍一下各个库的用途。
INFORMATION_SCHEMA库(这个是最重要的一定要看,剩下两个库和实验关系不大可以跳过):提供了访问数据库元数据的方式。元数据是关于数据的数据,如数据库名或表名,列的数据类型,或访问权限等。有些时候用于表述该信息的其他术语包括“数据词典”和“系统目录”。INFORMATION_SCHEMA是信息数据库,其中保存着关于MySQL服务器所维护的所有其他数据库的信息。在INFORMATION_SCHEMA中,有数个只读表。它们实际上是视图,而不是基本表,因此,你将无法看到与之相关的任何文件。每位MySQL用户均有权访问这些表,但仅限于表中的特定行,在这类行中含有用户具有恰当访问权限的对象。
•SCHEMATA表:提供了当前mysql实例中所有数据库的信息。是show databases的结果取之此表。
•TABLES表:提供了关于数据库中的表的信息(包括视图)。详细表述了某个表属于哪个schema,表类型,表引擎,创建时间等信息。是show tables from schemaname的结果取之此表。
•COLUMNS表:提供了表中的列信息。详细表述了某张表的所有列以及每个列的信息。是show columns from schemaname.tablename的结果取之此表。
mysql库:这个是mysql的核心数据库,类似于sql server中的master表,主要负责存储数据库的用户、权限设置、关键字等mysql自己需要使用的控制和管理信息。不可以删除,如果对mysql不是很了解,也不要轻易修改这个数据库里面的表信息。
PERFORMANCE_SCHEMA库是MySQL 5.5开始新增一个数据库:主要用于收集数据库服务器性能参数。并且库里表的存储引擎均为PERFORMANCE_SCHEMA,而用户是不能创建存储引擎为PERFORMANCE_SCHEMA的表。MySQL5.5默认是关闭的,需要手动开启
对于系统库的了解我们暂且告一段落,现在我门再讲讲INFORMATION_SCHEMA关键库里面的关键表。。。。。。。
SHCEMATA:这个表里面有mysql数据库里的所有的库的库名
TABLES:这个表里面有mysql数据库里的所有的库中的所有表名
COLUMNS:这个表里面有mysql数据库里的所有的库中的所有表中的所有列名。这些在上述介绍库的时候都有提到。
看到这里是不是大概明白了什么。也就是说我们只要掌握information_schema这个库就意味着我们拿下了整个数据库的数据。(后面的实验案例我们以此为展开)