在select數據時,我們往往需要將數據進行連接后進行回顯。很多的時候想將多個數據或者多行數據進行輸出的時候,需要使用字符串連接函數。在sqli中,常見的字符串連接函數有concat(),group_concat(),concat_ws()。
本篇詳細講解以上三個函數。同時此處用mysql進行說明,其他類型數據庫請自行進行檢測。
三大法寶 concat(),group_concat(),concat_ws()
concat()函數
不使用字符串連接函數時,
SELECT id,name FROM info LIMIT 1;的返回結果為
+----+--------+
| id | name |
+----+--------+
| 1 | BioCyc |
+----+--------+
但是這里存在的一個問題是當使用union聯合注入時,我們都知道,聯合注入要求前后兩個選擇的列數要相同,這里id,name是兩個列,當我們要一個列的時候,(當然不排除你先爆出id,再爆出name,分兩次的做法)該怎么辦?----concat()
-
concat()語法及使用特點:
CONCAT(str1,str2,…)
返回結果為連接參數產生的字符串。如有任何一個參數為NULL ,則返回值為 NULL。可以有一個或多個參數。 -
使用示例:
SELECT CONCAT(id, ',', name) AS con FROM info LIMIT 1;返回結果為
+----------+
| con |
+----------+
| 1,BioCyc |
+----------+一般的我們都要用一個字符將各個項隔開,便於數據的查看。
SELECT CONCAT('My', NULL, 'QL');返回結果為
+--------------------------+
| CONCAT('My', NULL, 'QL') |
+--------------------------+
| NULL |
+--------------------------+
CONCAT_WS()函數
CONCAT_WS() 代表 CONCAT With Separator ,是CONCAT()的特殊形式。第一個參數是其它參數的分隔符。分隔符的位置放在要連接的兩個字符串之間。分隔符可以是一個字符串,也可以是其它參數。如果分隔符為 NULL,則結果為 NULL。函數會忽略任何分隔符參數后的 NULL 值。但是CONCAT_WS()不會忽略任何空字符串。 (然而會忽略所有的 NULL)。
-
concat()語法及使用特點:
CONCAT_WS(separator,str1,str2,…)
Separator為字符之間的分隔符
-
使用示例:
SELECT CONCAT_WS('_',id,name) AS con_ws FROM info LIMIT 1;返回結果為
+----------+
| con_ws |
+----------+
| 1_BioCyc |
+----------+SELECT CONCAT_WS(',','First name',NULL,'Last Name');返回結果為
+----------------------------------------------+
| CONCAT_WS(',','First name',NULL,'Last Name') |
+----------------------------------------------+
| First name,Last Name |
+----------------------------------------------+GROUP_CONCAT()函數
GROUP_CONCAT函數返回一個字符串結果,該結果由分組中的值連接組合而成。
使用表info作為示例,其中語句SELECT locus,id,journal FROM info WHERE locus IN('AB086827','AF040764');的返回結果為
+----------+----+--------------------------+
| locus | id | journal |
+----------+----+--------------------------+
| AB086827 | 1 | Unpublished |
| AB086827 | 2 | Submitted (20-JUN-2002) |
| AF040764 | 23 | Unpublished |
| AF040764 | 24 | Submitted (31-DEC-1997) |
+----------+----+--------------------------+
1、使用語法及特點:
GROUP_CONCAT([DISTINCT] expr [,expr ...]
[ORDER BY {unsigned_integer | col_name | formula} [ASC | DESC] [,col ...]]
[SEPARATOR str_val])
在 MySQL 中,你可以得到表達式結合體的連結值。通過使用 DISTINCT 可以排除重復值。如果希望對結果中的值進行排序,可以使用 ORDER BY 子句。
SEPARATOR 是一個字符串值,它被用於插入到結果值中。缺省為一個逗號 (","),可以通過指定 SEPARATOR "" 完全地移除這個分隔符。
可以通過變量 group_concat_max_len 設置一個最大的長度。在運行時執行的句法如下: SET [SESSION | GLOBAL] group_concat_max_len = unsigned_integer;
如果最大長度被設置,結果值被剪切到這個最大長度。如果分組的字符過長,可以對系統參數進行設置:SET @@global.group_concat_max_len=40000;
2、使用示例:
語句 SELECT locus,GROUP_CONCAT(id) FROM info WHERE locus IN('AB086827','AF040764') GROUP BY locus; 的返回結果為
+----------+------------------+
| locus | GROUP_CONCAT(id) |
+----------+------------------+
| AB086827 | 1,2 |
| AF040764 | 23,24 |
+----------+------------------+
語句 SELECT locus,GROUP_CONCAT(distinct id ORDER BY id DESC SEPARATOR '_') FROM info WHERE locus IN('AB086827','AF040764') GROUP BY locus;的返回結果為
+----------+----------------------------------------------------------+
| locus | GROUP_CONCAT(distinct id ORDER BY id DESC SEPARATOR '_') |
+----------+----------------------------------------------------------+
| AB086827 | 2_1 |
| AF040764 | 24_23 |
+----------+----------------------------------------------------------+
語句SELECT locus,GROUP_CONCAT(concat_ws(', ',id,journal) ORDER BY id DESC SEPARATOR '. ') FROM info WHERE locus IN('AB086827','AF040764') GROUP BY locus;的返回結果為
+----------+--------------------------------------------------------------------------+
| locus | GROUP_CONCAT(concat_ws(', ',id,journal) ORDER BY id DESC SEPARATOR '. ') |
+----------+--------------------------------------------------------------------------+
| AB086827 | 2, Submitted (20-JUN-2002). 1, Unpublished |
| AF040764 | 24, Submitted (31-DEC-1997) . 23, Unpublished |
+----------+--------------------------------------------------------------------------+
3、sql注入中一般使用方法
-
列出所有的數據庫
select group_concat(schema_name) from information_schema.schemata
列出某個庫當中所有的表
select group_concat(table_name) from information_schema.tables where table_schema='xxxxx'