目录：

---

这是一篇饱含私心的文章，从web安全学习中去理解演绎推理。

---

推理的过程

逻辑学家在人类有限的认知领域里做出了最简洁、准确的描述：推理的四个步骤：抽象、概括、判断、推理；

推理的两个种类：归纳推理和演绎推理；他们之间相互独立又相互依赖 ---《逻辑十九讲》

---

演绎推理

演绎推理重在一个分析的过程。

在web安全学习中，跟着视频教程进行靶机的训练时，总感觉有些步骤不是很理解。

就像是你到了一个新大楼里，从1楼直接从了升降梯（教程）到了5楼，当中有很多楼层，还没亲自走楼梯一步步去认识一遍，所以总感觉没有全懂，有点云里雾里的感觉。

如果试着，自己从头到尾去走一遍，会发现很多原来不清楚的地方慢慢地明晰了起来，有种“柳暗花明又一村”的感觉。

而这自己走楼梯的过程当中涉及到了两个点：

• 分析
• 提取知识的必要难度

---

分析

先来谈谈分析过程。

在web安全学习时，学习SQL注入知识点的时候，自己给自己提出了一个问题：“有多少种SQL 注入类型？为什么会分成这3类？是依据什么分类的？”

我用了分析去解决了自己的疑问。

分析过程：

• 黑盒测试看一遍
• 白盒测试看一遍（源码&后台数据库的实际运行）

---

有多少种SQL 注入类型？

有3种：

• 1.基于报错注入
• 2.基于时间盲注
• 3.基于布尔盲注

---

为什么会分成这3类？

首先要存在注入点，然后依据服务器返回的信息可以分成3类，而服务器返回的信息又基于其源码。

换句话说，基于报错、时间盲注、布尔盲注都是要看源码中的代码怎么写，然后服务器才会根据源码返回给你不同的信息。

通过它返回不同的信息：1返回错误 2只返回两个界面 3 均不返回，再进行相应的操作。

---

1.基于报错注入

// connectivity 
$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

if($row)
 {
    echo "<font size='5' color= '#99FF00'>";
    echo 'Your Login name:'. $row['username'];
    echo "<br>";
    echo 'Your Password:' .$row['password'];
    echo "</font>";
    }
    else 
    {
    echo '<font color= "#FFFF00">';
    print_r(mysql_error());
    echo "</font>";  
    }

网页前端接受用户的输入，然后送到后台数据库查询，如果查询得到结果，就返回你的用户名和密码此类信息，如果查询不到结果，就报出数据库的错误。

关键句：print_r(mysql_error());
mysql_error():返回上一个 MySQL 函数的错误文本，如果没有出错则返回 ''（空字符串）

用户将构造自己的数据流提交给后台，后台经过数据库查询，如果程序将用户的输入流拼接后，导致查询错误，此时因为源码中有print_r(mysql_error());，所以会一览无余的将错误返回给用户。

这个情况下，对用户是比较友好的，因为每次输入是否有错，你都可以第一时间知道。

---

2.基于布尔盲注

// connectivity 


$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

    if($row)
    {
    echo '<font size="5" color="#FFFF00">'; 
    echo 'You are in...........';
    echo "<br>";
        echo "</font>";
    }
    else 
    {
    
    echo '<font size="5" color="#FFFF00">';
    
    echo "</br></font>";    
    echo '<font color= "#0000ff" font size= 3>';    
    
    }
    

如果查到数据，就返回A页面，如果没有查询到数据就返回B页面。
只能通过测试语句的true 和FALSE 来判断，并一步步得到数据库的信息。

这种情况，比基于错误获得的反馈信息要更少，因为源码没有将error详细输出，有无错只是一个页面的差异。
但是还是给了用户反馈信息，只是反馈信息比较单一，只有TRUE或FALSE ；

---

3.基于时间盲注

// connectivity 


$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

    if($row)
    {
    echo '<font size="5" color="#FFFF00">'; 
    echo 'You are in...........';
    echo "<br>";
        echo "</font>";
    }
    else 
    {
    
    echo '<font size="5" color="#FFFF00">';
    echo 'You are in...........';

    echo "</br></font>";    
    echo '<font color= "#0000ff" font size= 3>';    
    
    }

不管后台是否查到数据，web页面的返回值只有一种，所以可以通过MySQL中的sleep（）时间函数去判断注入的语句是否正确，以此慢慢爆出数据库的信息。

---

它的本质是什么?

一句话：SQL注入类型分类的本质源于源代码，就看源代码怎么写的。

web页面的返回信息的情况有3种：

• web页面的返回值多样，报出详细错误信息（基于错误）
• web页面的返回值只有两种（基于布尔盲注）
• web页面的返回值只有一种（基于时间盲注）

我们再因地制宜，一步步爆出数据库信息。

---

提取知识的必要难度

之前看到“心智工具箱”了解到了一个概念：提取知识的必要难度。

大概意思就是说，在上课的时候，不要第一时间做笔记，就算记得很详细，过后你也会遗忘很多的，因为你的提取知识的必要难度很低。

要过一段时间后，通过自己的思考和回忆，再去整理笔记，这样提取知识的必要难度会大大增加，因此你对于知识的掌握和记忆会比前一种更深。

同理，我们如果跟着教程，看一下，暂停一下，一步一步跟着教程做的话，提取知识的必要难度就会很低，因为很多步骤我不知道为什么要这么做，为什么不那样做，所以如果跟着教程做了一遍后，就应该自己从头到尾脱离教程，调试一遍。

这样才能提高提取知识的必要难度，能达到一个更好的学习效果。

---

参考list：

• 《逻辑十九讲》
• “心智工具箱”