SQL 注入詳解 SQL 注入詳解

SQL 注入原理

SQL注入攻擊指的是通過建構特殊的輸入作為參數傳入Web應用程式，而這些輸入大都是SQL文法裡的一些組合，通過執行SQL語句進而執行攻擊者所要的操作，其主要原因是程式沒有細緻地過濾使用者輸入的資料，緻使非法資料侵入系統。

SQL 注入分類

1. 數字型注入

當輸入的參數為整型時，則有可能存在數字型注入漏洞。

假設存在一條 URL 為：HTTP://www.aaa.com/test.php?id=1

可以對背景的 SQL 語句猜測為：

SELECT * FROM table WHERE id=1

判斷數字型漏洞的 SQL 注入點：

① 先在輸入框中輸入一個單引号 '

這樣的 SQL 語句就會變為：

SELECT * FROM table WHERE id=1'，

不符合文法，是以該語句肯定會出錯，導緻腳本程式無法從資料庫擷取資料，進而使原來的頁面出現異常。

② 在輸入框中輸入 and 1 = 1

SQL語句變為：

SELECT * FROM table WHERE id=1 and 1 = 1

語句正确，執行正常，傳回的資料與原始請求無任何差異。

③ 在資料庫中輸入 and 1 = 2

SQL 語句變為：

SELECT * FROM table WHERE id=1 and 1 = 2

雖然文法正确，語句執行正常，但是邏輯錯誤，因為 1 = 2 為永假，是以傳回資料與原始請求有差異。

如果以上三個步驟全部滿足，則程式就可能存在數字型 SQL 注入漏洞。

2. 字元型注入

當輸入參數為字元串時，則可能存在字元型注入漏洞。數字型與字元型注入最大的差別在于：數字型不需要單引号閉合，而字元型一般需要使用單引号來閉合。

字元型注入最關鍵的是如何閉合 SQL 語句以及注釋多餘的代碼。

假設背景的 SQL 語句如下：

SELECT * FROM table WHERE username = 'admin'

判斷字元型漏洞的 SQL 注入點：

① 還是先輸入單引号 admin' 來測試

這樣的 SQL 語句就會變為：

SELECT * FROM table WHERE username = 'admin''。

頁面異常。

② 輸入：admin' and 1 = 1 --

注意：在 admin 後有一個單引号 '，用于字元串閉合，最後還有一個注釋符 --(兩條杠後面還有一個空格！！！)。

SQL 語句變為：

SELECT * FROM table WHERE username = 'admin' and 1 = 1 --

頁面顯示正确。

③ 輸入：admin' and 1 = 2 --

SQL 語句變為：

SELECT * FROM table WHERE username = 'admin' and 1 = 2 --

頁面錯誤。

滿足上面三個步驟則有可能存在字元型 SQL 注入。

3. 其他類型

其它類型比如Cookie 注入、POST 注入、延時注入等。