SELECT 1,2,3...的含义及其在SQL注入中的用法

• 首先，select 之后可以接一串数字：1,2,3…只是一个例子，这串数字并不一定要按从小到大排列，也不一定从1开始，这串数字的值和顺序是任意的，甚至可以是重复的，如：11,465,7461，35 或11,11,11,11，数字串的长度也是任意的，我们想获得多少列的数据，就写多少个数字。

• 我们都知道，select语句在指明要查询的内容属性（如select id）后，要加from指明是从哪个数据库表中获得数据，在数据库环境中我们一般会先写一句use xxxdatabase，之后写select from语句直接加当前数据库中的表名就可以了。如果我们没有声明使用哪个数据库，也可以直接写 select xxxx from security.users（假设要从security数据库的users表中获取数据）。而select直接加数字串时，可以不写后面的表名，那么它输出的内容就是我们select后的数字，这时我们写的一串数字就是一个数组（或1个行向量），这时select实际上没有向任何一个数据库查询数据，即查询命令不指向任何数据库的表。返回值就是我们输入的这个数组，这时它是个1行n列的表，表的属性名和值都是我们输入的数组，如下图：
  

• 那么这个东西有什么用呢？在SQL注入时，我们可以利用它来进行一个快速测试，在Union注入时，如果我们通过测试已经知道了前面语句的字段数，就可以写入union 注入语句，但存在一个问题，我们虽然可以通过注入获得想要的信息，但这些信息必须能够返回到我们手中，对于网页来说，如何能够让数据回显是至关重要的。例如一个网站的参数传递执行的查询有3个字段，很可能这些字段不是都显示在网页前端的，假如其中的1或2个字段的查询结果是会返回到前端的，那么我们就需要知道这3个字段中哪两个结果会回显，这个过程相当于找到数据库与前端显示的通道。如果我们直接输入查询字段进行查询，语句会非常冗长，而且很可能还需要做很多次测试，这时候我们利用一个简单的select 1,2,3，根据显示在页面上的数字就可以知道哪个数字是这个“通道”，那么我们只需要把这个数字改成我们想查询的内容（如id,password），当数据爆破成功后，就会在窗口显示我们想要的结果。

• 如上所述，select直接加数字串不指向任何数据库的表，那么如果在后面加上数据库表的名字呢？结果又会怎么样，我们做一个实验如下图所示：我们查询一下users表中有什么内容，这个表是什么结构

然后我们输入select加数字串：

• 这里我们只输入了4个数字，就返回4列，可以看出，第一行是我们的表格属性，原来的id，
  username等属性被替换成了这些数字串，而且我们输入的数字串长度是任意的，输入几个数字，就会出现几个属性，也就是说返回表的列数是等于我们输入的数字个数的，而行数与原数据库表的结构保持一致，原本有3行数据，输入数字串后仍为3行。