Hướng dẫn sql cheat sheet portswigger - sql cheat sheet portwigger

Bảng gian lận SQL này chứa các ví dụ về cú pháp hữu ích mà bạn có thể sử dụng để thực hiện nhiều nhiệm vụ thường phát sinh khi thực hiện các cuộc tấn công tiêm SQL.

Kết hợp chuỗi

Bạn có thể kết hợp nhiều chuỗi để tạo một chuỗi.

Oracle Microsoft Postgresql Microsoft

'foo'||'bar'

'foo'+'bar'

'foo'||'bar'

'foo'+'bar' CONCAT['foo','bar']

Postgresql

Mysql

Oracle Microsoft Postgresql Microsoft

'foo'||'bar'

'foo'+'bar'

'foo'+'bar'

'foo'+'bar'

Postgresql

Oracle Microsoft Postgresql Microsoft

'foo'||'bar'

'foo'+'bar'

'foo'+'bar'

'foo'+'bar' 'foo'+'bar' 4 [Note the space after the double dash] 'foo'+'bar' 5

Postgresql

Mysql

Oracle Microsoft Postgresql Microsoft

'foo' 'bar' [Lưu ý khoảng trống giữa hai chuỗi] CONCAT['foo','bar']

'foo'+'bar'

Mysql

'foo'+'bar'

Postgresql

Mysql

Oracle Microsoft Postgresql Microsoft

'foo' 'bar' [Lưu ý khoảng trống giữa hai chuỗi] CONCAT['foo','bar']

'foo'+'bar'

'foo'+'bar'

'foo'+'bar'

Postgresql

Mysql

Oracle Microsoft Postgresql Microsoft

'foo' 'bar' [Lưu ý khoảng trống giữa hai chuỗi] CONCAT['foo','bar']

Chất nền

Mysql

'foo'+'bar'

Postgresql

Mysql

Oracle Microsoft Postgresql Microsoft

'foo' 'bar' [Lưu ý khoảng trống giữa hai chuỗi] CONCAT['foo','bar']

Chất nền

Chất nền

Chất nền

Bạn có thể trích xuất một phần của chuỗi, từ một phần bù được chỉ định với độ dài được chỉ định. Lưu ý rằng chỉ số bù là dựa trên 1. Mỗi biểu thức sau đây sẽ trả về chuỗi ba.

SUBSTR['foobar', 4, 2]

SUBSTRING['foobar', 4, 2]

Bạn có thể sử dụng nhận xét để cắt tỉa truy vấn và xóa phần truy vấn ban đầu theo đầu vào của bạn.

Oracle Microsoft Postgresql Microsoft

'foo'+'bar' 0

'foo'+'bar' 1

'foo'+'bar' 3 'foo'+'bar' 4 [Lưu ý không gian sau bảng điều khiển kép] 'foo'+'bar' 5

'foo'+'bar'

Postgresql

Mysql

Oracle Microsoft Postgresql Microsoft

'foo' 'bar' [Lưu ý khoảng trống giữa hai chuỗi] CONCAT['foo','bar']

Chất nền

Bạn có thể trích xuất một phần của chuỗi, từ một phần bù được chỉ định với độ dài được chỉ định. Lưu ý rằng chỉ số bù là dựa trên 1. Mỗi biểu thức sau đây sẽ trả về chuỗi ba.

'foo'+'bar'

Postgresql

Mysql

Oracle Microsoft Postgresql Microsoft

'foo' 'bar' [Lưu ý khoảng trống giữa hai chuỗi] CONCAT['foo','bar'] CONCAT['foo','bar']0 Chất nền CONCAT['foo','bar']1

Bạn có thể trích xuất một phần của chuỗi, từ một phần bù được chỉ định với độ dài được chỉ định. Lưu ý rằng chỉ số bù là dựa trên 1. Mỗi biểu thức sau đây sẽ trả về chuỗi ba.

SUBSTR['foobar', 4, 2]

SUBSTRING['foobar', 4, 2] CONCAT['foo','bar']4 CONCAT['foo','bar']5

Bạn có thể sử dụng nhận xét để cắt tỉa truy vấn và xóa phần truy vấn ban đầu theo đầu vào của bạn.

'foo'+'bar' 0

Oracle Microsoft Postgresql Microsoft

'foo'+'bar' 1

'foo'+'bar' 3 'foo'+'bar' 4 [Lưu ý không gian sau bảng điều khiển kép] 'foo'+'bar' 5

Phiên bản cơ sở dữ liệu

Bạn có thể truy vấn cơ sở dữ liệu để xác định loại và phiên bản của nó. Thông tin này rất hữu ích khi xây dựng các cuộc tấn công phức tạp hơn. CONCAT['foo','bar']9