SQL注入的绕过方式

1.注释与空白符绕过

利用#,--,/**/替代被过滤的注释符

利用%09（Tab）,%0A(换行) ，/**/代替空格：如union%0Aselect%0A1,2,3

2.编码绕过：

URL编码，双重编码，十六进制编码，Unicode编码，

3.大小写混淆：

sEleCT代替select,UnIon代替union

4.字符串拼接与函数

GHAR()函数：' or 1=1——> ' or char(49)=char(49) //CHAR(n),其中n是一个整数，表示ASCLL码值

CONCAT函数 ：select ——> CONCAT('s','elect')

十六进制字符串：admin——> 0x61646D696E

5.内联注释(MYSQL特有)：MySQL 的内联注释通常以 /* 开始，以 */ 结束。它可以在 SQL 语句的任何位置使用

6.绕过空格过滤

代替字符：%09(Tab),%0A(换行)，%0C(换页)

括号绕过：union(select(1),2,3)

7.分块传输与参数污染

分块编码：将请求分块发送，绕过WAF检测

参数污染：提交多个同名函数（如?id=1&id=union select 1），应用程序可能取第一个，而WAF取第二个

8.动态执行与存储过程

EXEC命令（SQL Server）:EXEC('select * from users')

prepare语句（MySql）:

SET @sql = CONCAT('SEL','ECT 1');
PREPARE stmt FROM @sql;
EXECUTE stmt;
DEALLOCATE PREPARE stmt;

9.宽字节注入（GBK编码）

在GBK编码中，以下字节序列可以被利用：

%df(0xDF),%bf(0xBF),%27(0x27,即单引号)

实例：假设过滤器只检查单个字节，过滤掉单引号 ' 和反斜杠 \。由于 0xBF 和 0x27 组合在一起是一个合法的多字节字符，过滤器可能无法检测到单引号 '，（单独的’不合法，与%bf组合在一起就合法了）

10，二次注入

第一次注入将恶意代码插入到数据库中，'; DROP TABLE users; --