报错注入在没法用union联合查询时用，但前提还是不能过滤一些关键的函数。

报错注入就是利用了数据库的某些机制，人为地制造错误条件，使得查询结果能够出现在错误信息中。这里主要记录一下xpath语法错误和concat+rand()+group_by()导致主键重复

• 通过floor报错

and (select 1 from (select count(*),concat(( payload),floor (rand(0)*2))x from information_schema.tables group by x)a)

其中payload为你要插入的SQL语句
需要注意的是该语句将 输出字符长度限制为64个字符

超过64个字符可以使用limit不使用concat

• 通过updatexml报错,xpath语法错误

and updatexml(1, payload,1)

函数原型：updatexml(xml_document,xpath_string,new_value)
正常语法：updatexml(xml_document,xpath_string,new_value)
第一个参数：xml_document是string格式，为xml文档对象的名称 第二个参数：xpath_string是xpath格式的字符串
第三个参数：new_value是string格式，替换查找到的负荷条件的数据 作用：改变文档中符合条件的节点的值

同样该语句对输出的字符长度也做了限制，其最长输出32位
并且该语句对payload的反悔类型也做了限制，只有在payload返回的不是xml格式才会生效

0x7e为 ASCII 编码，解析结果为 ~,使用concat 把payload`前后圈住

• 通过ExtractValue报错,xpath语法错误

and extractvalue(1, payload)

函数原型：extractvalue(xml_document,Xpath_string)
正常语法：extractvalue(xml_document,Xpath_string);
第一个参数：xml_document是string格式，为xml文档对象的名称
第二个参数：Xpath_string是xpath格式的字符串
作用：从目标xml中返回包含所查询值的字符串

输出字符有长度限制，最长32位，payload即我们要输入的sql查询语句

0x7e为 ASCII 编码，解析结果为 ~,使用concat 把payload`前后圈住

注：

 ① 0x7e=’~’
 ② concat(‘a’,‘b’)=“ab”
 ③ version()=@@version
 ④ ‘~‘可以换成’#’、’$'等不满足xpath格式的字符
 ⑤ extractvalue()能查询字符串的最大长度为32，如果我们想要的结果超过32，就要用substring()函数截取或limit分页，一次查看最多32位