WEB安全总结之读懂SQL注入

SQL注入总结

背景

学习SQL注入之前先了解下web应用工作原理，为理解SQL注入的产生过程提供一些背景知识。与从web应用的代码层面出发介绍哪些行为会引发SQL注入的产生。

Web应用的工作原理

 

数据库驱动的web应用通常包含三层：表示层（web浏览器）、逻辑层（JSP、ASP、.net、PHP等编程语言）、和存储层（MySQL、Oracle、SQL server等数据库）。Web浏览器向中间层发送请求，中间层通过查询、更新数据库来相应该请求。

一种简单的架构：

有数据库驱动的web应用程序一般包含三层结构：表示层、逻辑层、存储层。

表示层是应用的最外层，它显示的是商品信息

逻辑层

存储层

三层架构属于线性关系

一种复杂的结构：

 

 

SQL基础

结构化查询语言

SQL产生的原因，交互的层面

https://www.jianshu.com/p/078df7a35671

https://www.zhihu.com/topic/19678733/hot

https://www.freebuf.com/column/174974.html

https://blog.csdn.net/yujia_666/article/details/90296495

原理

随着web应用越来越成熟，技术也越来越复杂。

通过把SQL命令插入（如何插）到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗（如何骗）服务器执行恶意的SQL命令

攻击思路

寻找注入的位置

判断服务器和数据库类型

针对不同的服务器和数据库特点进行注入攻击

 

注入点判断

1、         加入单引号

2、         数字型判断是否有注入

3、         字符型判断

注入类型

严格来说SQL注入可以分两类

数字型注入

字符型注入

 

宽字节注入

 

二次注入

在有防御的情况下如何进行防御

防御

注意：但凡有SQL注入漏洞的程序，都是因为程序要接受来自客户端用户输入的变量或URL传递的参数，并且这个变量或参数是组成SQL语句的一部分，对于用户输入的内容或传递的参数，我们应该要时刻保持警惕，这是安全领域里的「外部数据不可信任」的原则，纵观Web安全领域的各种攻击方式，大多数都是因为开发者违反了这个原则而导致的，所以自然能想到的，就是从变量的检测、过滤、验证下手，确保变量是开发者所预想的。

　　1、检查变量数据类型和格式

　　如果你的SQL语句是类似where id={$id}这种形式，数据库里所有的id都是数字，那么就应该在SQL被执行前，检查确保变量id是int类型；如果是接受邮箱，那就应该检查并严格确保变量一定是邮箱的格式，其他的类型比如日期、时间等也是一个道理。总结起来：只要是有固定格式的变量，在SQL语句执行前，应该严格按照固定格式去检查，确保变量是我们预想的格式，这样很大程度上可以避免SQL注入攻击。

　　比如，我们前面接受username参数例子中，我们的产品设计应该是在用户注册的一开始，就有一个用户名的规则，比如5-20个字符，只能由大小写字母、数字以及一些安全的符号组成，不包含特殊字符。此时我们应该有一个check_username的函数来进行统一的检查。不过，仍然有很多例外情况并不能应用到这一准则，比如文章发布系统，评论系统等必须要允许用户提交任意字符串的场景，这就需要采用过滤等其他方案了。

　　2、过滤特殊符号

　　对于无法确定固定格式的变量，一定要进行特殊符号过滤或转义处理。

　　3、绑定变量，使用预编译语句　　

　　MySQL的mysqli驱动提供了预编译语句的支持，不同的程序语言，都分别有使用预编译语句的方法

　　实际上，绑定变量使用预编译语句是预防SQL注入的最佳方式，使用预编译的SQL语句语义不会发生改变，在SQL语句中，变量用问号?表示，黑客即使本事再大，也无法改变SQL语句的结构