Sql注入中连接字符串常用函数
在select数据时,我们往往需要将数据进行连接后进行回显。很多的时候想将多个数据或者多行数据进行输出的时候,需要使用字符串连接函数。在sqli中,常见的字符串连接函数有concat(),group_concat(),concat_ws()。
本篇详细讲解以上三个函数。同时此处用mysql进行说明,其他类型请自行进行检测。
三大法宝 concat(),group_concat(),concat_ws()
concat()函数
不使用字符串连接函数时,
select id,name from info limit 1;的返回结果为
+----+--------+
| id | name|
+----+--------+
|1 | biocyc |
+----+--------+
但是这里存在的一个问题是当使用union联合注入时,我们都知道,联合注入要求前后两个选择的列数要相同,这里id,name是两个列,当我们要一个列的时候,(当然不排除你先爆出id,再爆出name,分两次的做法)该怎么办?----concat()
concat()语法及使用特点:
concat(str1,str2,…)
返回结果为连接参数产生的字符串。如有任何一个参数为null,则返回值为 null。可以有一个或多个参数。
使用示例:
select concat(id, ',', name) as con from info limit 1;返回结果为
+----------+
| con|
+----------+
| 1,biocyc |
+----------+
一般的我们都要用一个字符将各个项隔开,便于数据的查看。
select concat('my', null, 'ql');返回结果为
+--------------------------+
| concat('my', null, 'ql') |
+--------------------------+
| null|
+--------------------------+
concat_ws()函数
concat_ws()代表 concat with separator,是concat()的特殊形式。第一个参数是其它参数的分隔符。分隔符的位置放在要连接的两个字符串之间。分隔符可以是一个字符串,也可以是其它参数。如果分隔符为 null,则结果为 null。函数会忽略任何分隔符参数后的 null 值。但是concat_ws()不会忽略任何空字符串。 (然而会忽略所有的 null)。
concat()语法及使用特点:
concat_ws(separator,str1,str2,…)
separator为字符之间的分隔符
使用示例:
select concat_ws('_',id,name) as con_ws from info limit 1;返回结果为
+----------+
| con_ws|
+----------+
| 1_biocyc |
+----------+
select concat_ws(',','first name',null,'last name');返回结果为
+----------------------------------------------+
| concat_ws(',','first name',null,'last name') |
+----------------------------------------------+
| first name,last name|
+----------------------------------------------+
group_concat()函数
group_concat函数返回一个字符串结果,该结果由分组中的值连接组合而成。
使用表info作为示例,其中语句select locus,id,journal from info where locus in('ab086827','af040764');的返回结果为
+----------+----+--------------------------+
| locus| id | journal|
+----------+----+--------------------------+
| ab086827 |1 | unpublished|
| ab086827 |2 | submitted (20-jun-2002)|
| af040764 | 23 | unpublished|
| af040764 | 24 | submitted (31-dec-1997)|
+----------+----+--------------------------+
1、使用语法及特点:
group_concat([distinct] expr [,expr ...]
[order by {unsigned_integer | col_name | formula} [asc | desc] [,col ...]]
[separator str_val])
在 mysql中,你可以得到表达式结合体的连结值。通过使用 distinct可以排除重复值。如果希望对结果中的值进行排序,可以使用 order by子句。
separator 是一个字符串值,它被用于插入到结果值中。缺省为一个逗号 (","),可以通过指定 separator "" 完全地移除这个分隔符。
可以通过变量 group_concat_max_len设置一个最大的长度。在运行时执行的句法如下: set [session | global] group_concat_max_len = unsigned_integer;
如果最大长度被设置,结果值被剪切到这个最大长度。如果分组的字符过长,可以对参数进行设置:set @@global.group_concat_max_len=40000;
2、使用示例:
语句 select locus,group_concat(id) from info where locus in('ab086827','af040764') group by locus;的返回结果为
+----------+------------------+
| locus| group_concat(id) |
+----------+------------------+
| ab086827 | 1,2|
| af040764 | 23,24|
+----------+------------------+
语句 select locus,group_concat(distinct id order by iddesc separator '_') from info where locus in('ab086827','af040764') group by locus;的返回结果为
+----------+----------------------------------------------------------+
| locus| group_concat(distinct id order by id desc separator'_')|
+----------+----------------------------------------------------------+
| ab086827 | 2_1|
| af040764 | 24_23|
+----------+----------------------------------------------------------+
语句select locus,group_concat(concat_ws(', ',id,journal) order by id desc separator '. ') from info where locus in('ab086827','af040764') group by locus;的返回结果为
+----------+--------------------------------------------------------------------------+
| locus| group_concat(concat_ws(', ',id,journal) order by id desc separator '. ') |
+----------+--------------------------------------------------------------------------+
| ab086827 | 2, submitted (20-jun-2002). 1, unpublished|
| af040764 | 24, submitted (31-dec-1997) . 23, unpublished|
+----------+--------------------------------------------------------------------------+
3、sql注入中一般使用方法
列出所有的数据库
select group_concat(schema_name) from information_schema.schemata
列出某个库当中所有的表
select group_concat(table_name) from information_schema.tables where table_schema='xxxxx'