SQL注入全知道：网络安全的关键一课

在当今数字化时代，网络安全至关重要！

而SQL 注入作为一种常见且具有潜在危害的攻击手段，值得我们深入了解。

今天，就为大家详细剖析 SQL 注入的方方面面。

一、SQL 注入是什么？

SQL 注入指的是Web 应用程序在处理用户输入数据时，由于缺乏判断或过滤不严格，使得攻击者能够在预先定义好的查询语句末尾添加额外的 SQL 语句。

• 这样一来，数据库就会执行这些非授权的查询操作，进而导致敏感数据被窃取。

• 简单来说，就是恶意 SQL 语句与正常语句拼接，让数据库执行了不该执行的指令。

二、其背后的原理

1. 参数用户可控：前端传递给后端的参数内容完全在用户的掌控之下，这就为攻击者提供了可乘之机。
2. 参数带入数据库查询：这些用户输入的参数会被拼接到正常的 SQL 语句中，并且被带入数据库进行查询，从而引发安全风险。

三、SQL 注入的分类

1. 按请求方式分

• POST：这种方式下，数据不会在 URL 中显示，而是通过提交表单数据的形式传输。例如在一些用户登录、注册或数据提交的场景中，可能会用到 POST 请求，如果对这些请求中的数据处理不当，就容易出现 SQL 注入漏洞。

• GET：数据会直接包含在 URL 中，像我们常见的一些搜索功能页面，URL 中可能会携带搜索关键词等参数，如果没有进行安全过滤，攻击者就可以通过修改 URL 参数来进行 SQL 注入攻击。

1. 按注入点属性分

• 整数型：其特点是无需闭合，在一些数字类型的查询条件中较为常见。比如在查询用户 ID 的功能中，如果对用户输入的 ID 没有进行严格校验，攻击者就可能利用整数型注入漏洞获取其他用户信息。

• 字符串型：需要特定字符进行闭合，通常在处理文本类型的数据查询时会出现这种情况。例如在根据用户名查询用户信息的功能中，如果对用户名的输入过滤不完善，攻击者就可以通过巧妙构造闭合字符来实施注入攻击。

1. 按页面回显分

• 有回显：这意味着我们能够直接看到注入的 SQL 语句在数据库上执行的结果。这种情况对于攻击者来说，能够更方便地获取数据和判断注入是否成功，但同时也更容易被发现和防范。

• 无回显：与有回显相反，我们无法直接看到 SQL 语句的执行结果。这增加了攻击的难度，但并不代表无法进行攻击，攻击者可以通过一些特殊的盲注技巧来获取信息。

四、常见的注入方式

1. 联合注入（Union 注入）：攻击者利用 UNION 操作符将多个 SELECT 语句的结果合并到一个结果集中。比如通过构造类似 -1’ union select 1,2,3--+的语句，就有可能从数据库中获取多个表的数据，从而获取到更多敏感信息。

1. 堆叠注入：这种注入方式允许在一条输入中构造多条 SQL 语句。例如 1';insert into users(id,username,password) values ('38','less38','hello')--+，攻击者可以借此执行插入、更新等多种操作，严重威胁数据库的完整性和安全性。

1. 报错注入：攻击者巧妙地利用数据库的错误信息来获取敏感信息。当数据库执行错误的 SQL 语句时，会返回错误信息，攻击者通过构造如 1' and updatexml(1,concat(0x7e,(select database()),0x7e),1)--+的语句，从错误提示中提取出有价值的信息。

1. 盲注

• 布尔注入：基于布尔逻辑判断，攻击者构造不同的输入并观察应用程序的响应，以此来判断是否存在注入漏洞以及获取敏感信息。例如通过 kobe' and 1=1#和 kobe' and 1=2#这样的输入对比响应，来逐步挖掘信息。
• 延时注入：利用数据库的延时特性进行攻击。攻击者构造如 ' and if(1=1,sleep(10)) #的语句，当注入成功时，数据库执行会延迟，攻击者通过观察这种延迟现象来判断注入是否成功并获取信息。

五、如何绕过防范措施

1. 注释符绕过：利用基本注释符如 --、# 或 /注释内容/ 来绕过某些过滤规则。同时，还可以通过构造闭合的方式，比如 sql 语句 and '1'='1，让引号巧妙地闭合，从而逃逸出过滤机制。
2. 大小写和特殊编码绕过：采用大小写混合的方式，如将 select 改为 Select，来避开简单的过滤规则。另外，将需要注入的语句转换为十六进制、ASCII 编码、Unicode 编码等特殊编码形式，也能增加绕过的成功率。
3. 空格和特殊字符绕过：用 /**/、()、回车（URL 编码中的 %0a）、Tab 键等替代空格，对于被过滤的特殊字符，使用其等价形式或编码形式进行绕过。
4. 关键字和函数绕过：当关键字被过滤时，可以采用双写关键字的方法，如把 select 变成 seleselectct。同时，利用功能相同的函数进行替换，如用 benchmark()函数替代 sleep()函数，substr()、substring()、mid()相互取代等。
5. 逻辑运算符和比较符绕过：用 && 代替 and，|| 代替 or，| 代替 xor，! 代替 not 等逻辑运算符绕过，以及使用 like、rlike、regexp 或大小于号 <、> 来绕过等号 = 的过滤，还可以借助 greatest()、least()、strcmp()等函数进行比较操作。
6. 引号和逗号绕过：当引号被过滤时，采用十六进制编码、ASCII 编码或宽字节编码等方式绕过。在 SQL 盲注中，如果逗号被过滤，可以利用 from for 语法、join 关键字、like 关键字或 offset 关键字来绕过。
7. 内联注释和等价替换：在 MySQL 中，将一些特定语句放在 /!.../ 内联注释中，使其在其他数据库中不执行但在 MySQL 中执行，从而绕过过滤。同时，使用功能相同的语句或表达式替换被过滤的部分，如用 union select * from (select 1) a join (select 2) b join (select 3) c 替换 union select。
8. 其他绕过方式：在某些情况下，使用浮点数或对关键字进行 URL 编码也能绕过过滤规则。

了解 SQL 注入的相关知识，对于开发者来说，可以更好地编写安全的代码，对网络安全爱好者和从业者来说，有助于提升安全防护和检测能力。希望大家都能重视网络安全，共同营造一个安全的网络环境。