MySQL是一个关系型数据库管理系统,在学习Web安全过程中SQL注入需要掌握一些MySQL的基本用法,本次查看MySQL的内置函数。我使用的是phpstudy搭建的Web环境进行操作。
工具/原料
phpstudy https://jingyan.baidu.com/article/a3f121e4879a86fc9052bb05.html
方法/步骤
1
在SQL注入的过程中,可能会用到一下内置的函数,打印当前数据库名称select database(),打印当前的用户 select current_user。
2
version()获取数据版本,load_file()返回文件内容select load_file('文件路径');我们在测试的过程中发现load_file()返回值为null,下面看如何解决这个问题。
4
修改MySQL中mysql.ini文件,打开phpstudy其他选项菜单选择MySQL工具点击打开数据库目录,打开my.ini在[mysqld]下加入secure_file_priv= 保存重启mysql。
5
show global variables like '%secure%'查看secure_file_priv的值,执行load_file()命令打印出hosts文件的内容。
注意事项
1
MySql基本操作语法可查看前两篇经验。
2
phpstudy mysql.ini名称为my.ini。