字符型注入和布尔盲注1

下面简单修改sql1.php的源代码，将其改成sql2.php，如下所示。

在MySQL中，等号两边如果类型不一致，则会发生强制转换。当数字与字符串数据比较时，字符串将被转换为数字，再进行比较，见图1。字符串1与数字相等；字符串1a被强制转换成1，与1相等；字符串a被强制转换成0所以与0相等。

按照这个特性，我们容易判断输入点是否为字符型，也就是是否有引号（可能是单引号也可能是双引号，绝大多数情况下是单引号）包裹。

访问
http://192.168.20.133/sql2.php？id=3-2，结果见图2，页面为空，猜测不是数字型，可能是字符型。继续尝试访问
http://192.168.20.133/sql2.php？id=2a，结果见图3，说明确实是字符型。

尝试使用单引号来闭合前面的单引号，再用“--%20”或“%23”注释后面的语句。注意，这里一定要URL编码，空格的编码是“%20”，“＃”的编码是“%23”。

访问
http://192.168.20.133/sql2.php？id=2%27%23，结果见图4。

成功显示内容，此时的MySQL语句如下：

输入的单引号闭合了前面预置的单引号，输入的“＃”注释了后面预置的单引号，查询语句成功执行，结果见图5。

当然，除了注释，也可以用单引号来闭合后面的单引号，见图6。

访问
http://192.168.20.133/sql2.php？id=1'and'1，这时数据库查询语句见图7。