p牛在群里面出了一個好玩的題目，正好晚上空虛寂寞冷，就做一下暖暖身子，題目是：

首先一看，這個題目有幾個坑，首先update下的注入不是很常見，第二因為有addslashes的存在，整個注入不能出現(xiàn)單引號，雙引號和斜線等，第三就是這個sql語句沒有寫在一行代碼里面，所以不能用單行注釋把后面的語句注釋掉 這樣導(dǎo)致整個注入語句只能在UPDATE {$table}發(fā)揮了 首先查一下mysql update的用法： http://www.cnblogs.com/ggjucheng/archive/2012/11/06/2756392.html 這個文章在末尾有個很有用的提示：但是multiple-table UPDATE語句可以使用在SELECT語句中允許的任何類型的聯(lián)合，比如LEFT JOIN 這個于是我就搜到另一個文章：Mysql跨表更新 多表update sql語句總結(jié)（http://www.jb51.net/article/32648.htm） 里面有幾個簡單的用到LEFT JOIN的例子，但是似乎還不夠，我希望能引入一個子查詢，于是我找到了另一個文章：http://blog.csdn.net/catoop/article/details/46670911 這個文章里面有個例子不錯：

可以看到他引入了子查詢在update語句里面，而且子查詢的位置剛剛好在我想要的地方，于是我構(gòu)造一個這樣的子查詢：

但是報錯：ERROR 1052 (23000): Column ‘id’ in where clause is ambiguous 原因是：是因為多表查詢的時候幾個表中同時出現(xiàn)了某個相同的列名， 所以不能出現(xiàn)相同的列名，但是，我除了table表以外不知道數(shù)據(jù)庫的其他表了，或者根本就只有一個表，所以我就要用mysql的虛表dual，

我這里用select ‘1’ as user from dual 把’1’這個字段重命名是要滿足后面on的條件，及：on tt.user=t.username 而且這里要用‘1’而不是用數(shù)字是因為tale表里面的username類型是varchar類型 執(zhí)行后面發(fā)現(xiàn)可以正常更新，也就是說成功的引入了一個子查詢在我想要的地方，那么后面的事情就簡單很多了，直接引入一個報錯注入的語句在子查詢里面就可以了初期的答案是：

注入后完整sql語句

我很快的發(fā)現(xiàn)兩個問題 1.注入后的反引號沒有閉合2.就是單引號被轉(zhuǎn)義掉了 解決第一個問題就是在on的最后一個字段上加入一個反引號，讓他和后面的的反引號閉合 解決第二個問題就是把出現(xiàn)單引號的位置用char函數(shù)代替 于是完美的答案就出現(xiàn)了：

注入之后的sql語句是是：