I. SQL注入概述

什么是SQL注入

SQL注入是一种恶意攻击，通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。攻击者可能通过SQL注入获取、篡改或删除敏感数据。

SQL注入的危害

• 数据泄露：可窃取用户敏感信息（如用户名、密码、信用卡号等）。
• 系统控制：攻击者可能获得数据库管理系统（DBMS）的访问权限，进而控制整个系统。
• 数据破坏：修改或删除数据库中的重要数据。
• 恶意执行：在某些情况下，攻击者能够执行恶意代码。

常见SQL注入类型

• 拼接式注入：通过将用户输入直接拼接到SQL语句中。
• 基于布尔的盲注：通过返回不同结果来判断是否注入成功。
• 时间盲注：根据SQL执行时间的差异来判断。
• 报错注入：利用DBMS返回的错误信息来判断注入点。
• 联合查询注入：利用SQL联合查询特性，构建复杂查询来获取信息。

II. SQL注入基础知识

SQL语句基础

SQL（Structured Query Language）是一种用于管理关系型数据库的语言。基本操作包括查询数据、更新数据、删除数据和创建数据库结构。

-- 创建表
CREATE TABLE users (
    id INT PRIMARY KEY,
    username VARCHAR(255),
    password VARCHAR(255)
);

-- 插入数据
INSERT INTO users (id, username, password) VALUES (1, 'user1', 'pass1');

-- 查询数据
SELECT * FROM users WHERE username = 'user1';

-- 更新数据
UPDATE users SET password = 'newPass' WHERE id = 1;

-- 删除数据
DELETE FROM users WHERE id = 1;

参数化查询与非参数化查询的区别

非参数化查询直接将用户输入包含在SQL命令中，易于被攻击。

SELECT * FROM users WHERE username = 'admin' AND password = 'adminPass';

参数化查询通过将输入作为参数传递，避免了SQL注入。

preparedQuery = "SELECT * FROM users WHERE username = ? AND password = ?";
stmt = connection.prepareStatement(preparedQuery);
stmt.setString(1, 'admin');
stmt.setString(2, 'adminPass');
stmt.executeQuery();

SQL注释和转义字符

SQL注释用于说明代码，不会被解析执行。

-- 删除表users
DROP TABLE IF EXISTS users;  -- IF EXISTS检查表是否存在，避免错误

转义字符如单引号 \' 和反斜杠 \ 用于特殊字符的表示。

SELECT * FROM users WHERE username = 'John\'s'; -- 's转义为普通字符
SELECT * FROM users WHERE username = 'John\\';   -- 转义反斜杠

III. 实验环境搭建

选择和配置数据库

选择MySQL、PostgreSQL或SQL Server等数据库管理系统。安装并配置数据库服务。

安装和配置Web服务器

使用Nginx或Apache作为Web服务器，配置以支持SQL注入测试。

创建SQL注入测试数据库

创建一个测试数据库，填充模拟数据，用于注入尝试。

CREATE DATABASE sql_injection_test;
USE sql_injection_test;

CREATE TABLE test (
    id INT PRIMARY KEY,
    input VARCHAR(255)
);
INSERT INTO test (id, input) VALUES (1, '1 UNION SELECT * FROM users');

IV. 实战演练：识别SQL注入漏洞

实施SQL注入尝试

使用SQL命令尝试识别注入点。

SELECT * FROM test WHERE input = '1 UNION SELECT * FROM users';

识别注入点的常见方法

• 检查返回结果的异常模式。
• 使用SQL注入检测工具（如Burp Suite、Nikto等）。

使用工具辅助检测SQL注入

使用自动化工具，如SQLmap，自动化注入过程。

sqlmap -u "http://target.example.com/sql_injection_test.php" --method post --data "input=1' OR '1'='1"

V. 编写SQL注入攻击代码

常用的SQL注入语法

构建SQL注入payload，尝试获取数据库内部信息。

-- 实际SQL注入尝试代码示例
SELECT * FROM users WHERE username = 'admin' AND password = 'admin' AND 1=1' UNION SELECT id, password FROM users HAVING SUBSTRING(password, 1, 4) = 'pass';

构造SQL注入payload

使用payload来测试敏感点。

-- 实际SQL注入尝试代码示例
SELECT * FROM users WHERE username = 'admin' AND password = 'admin' AND 1=1' UNION SELECT id, password FROM users WHERE id = '1' -- 演示注入点的构造

VI. 防范SQL注入策略

设计安全的编码实践

避免直接拼接用户输入到SQL语句中。

$stmt = $connection->prepare("SELECT * FROM users WHERE username = :username");
$stmt->bindParam(':username', $_GET['username']);
$stmt->execute();

使用预编译语句和参数化查询

推荐使用绑定变量或参数化查询，以避免SQL注入。

$stmt = $connection->prepare("SELECT * FROM users WHERE username = ?");
$stmt->bindValue(1, $_GET['username']);
$stmt->execute();

实施输入验证和数据清理

对用户输入进行验证，去除可能的危险字符。

$input = filter_var($_GET['input'], FILTER_SANITIZE_STRING);

通过日志监控和错误管理检测SQL注入尝试

记录所有SQL查询，以期发现异常行为。

LOG_FORMAT='%(asctime)s - %(levelname)s: %(message)s'
LOG_PATH='/var/log/sql_injection.log'
APPENDER=FILE,console
FILE=FILE;PATH=$(LOG_PATH);FILE_PERMISSIONS=0640;FILE_NAME_PATTERN=%Y-%m-%d.log;FILE_MAX_SIZE=10MB;FILE_MAX_COUNT=5
LOG4J_CONFIG='
log4j.rootLogger=INFO, console, $FILE
log4j.appender.console=org.apache.log4j.ConsoleAppender
log4j.appender.console.Target=System.out
log4j.appender.console.layout=org.apache.log4j.PatternLayout
log4j.appender.console.layout.ConversionPattern=%d{ABSOLUTE} %5p %c{1}:%L - %m%n
log4j.appender.$FILE=org.apache.log4j.FileAppender
log4j.appender.$FILE.File=${FILE_PATH}
log4j.appender.$FILE.Append=true
log4j.appender.$FILE.layout=org.apache.log4j.PatternLayout
log4j.appender.$FILE.layout.ConversionPattern=%d{ABSOLUTE} %5p %c{1}:%L - %m%n'

通过遵循上述指南和策略，可以有效地防御SQL注入攻击，保护数据库和应用的安全。