近期一直在学习sql注入,在起初使用dvwa进行练习时,**出来的表就有如下特点
可以看到,爆出来的列名有一个user_id,一个id,一个user,一个username,两个password,
一开始我尝试使用username进行继续dump却发现不存在该列,在起初不知道原因所在,现在一想,原来是出在了select查询语句的问题上:
只限定了table_name='users',因此会将其他数据库里的users表的信息也读出,因此我们应该修改条件为:where table_schema='dvwa' and table_name='users'
下面看看修改后的效果
可以看到,将其他数据库中的表过滤掉后,剩下的就是我们想要的
总结
在进行sql注入时,要多思考,勤动脑,不能一味的套用测试步骤走,多进行sql语法的巩固