本文轉載自微信公眾號「Java極客技術」，作者鴨血粉絲 。轉載本文請聯系Java極客技術公眾號。  

一QQ視頻

騰訊視頻

IBM視頻

SQL 注入攻擊是網絡上非常常見的一種攻擊!

黑客通過將惡意的 SQL 查詢或者添加語句插入到應用的輸入參數中，然后在后臺 SQL 服務器上解析執行進行程序攻擊!

[[376047]]

那黑客具體是如何將惡意的 SQL 腳本進行植入到系統中，從而達到攻擊的目的呢?

現在的 Web 程序基本都是三層架構，也就是我們常說的 MVC 模式：

• 表示層：用于數據的展示，也就是前端界面
• 業務邏輯層：用于接受前端頁面傳入的參數，進行邏輯處理
• 數據訪問層：邏輯層處理完畢之后，會將數據存儲到對應的數據庫，例如mysql、oracle、sqlserver等等

例如在上圖中，用戶訪問主頁進行了如下過程：

• 在 Web 瀏覽器中輸入www.shiyanlou.com接到對應的服務器
• Web服務器從本地存儲中加載index.php腳本程序并解析
• 腳本程序會連接位于數據訪問層的DBMS(數據庫管理系統)，并執行Sql語句
• 數據庫管理系統返回Sql語句執行結果給Web服務器
• Web服務器將頁面封裝成HTML格式發送給Web瀏覽器
• Web瀏覽器解析HTML文件，將內容展示給用戶

整個過程中間的業務邏輯層只是進行邏輯處理，從用戶到獲取數據，簡單的說，三層架構是一種線性關系。

二、SQL 注入漏洞詳解

剛剛我們也講到，當我們訪問網頁時，Web 服務器會向數據訪問層發起 SQL 查詢請求，如果權限驗證通過就會執行 SQL 語句。

一般來說，如果是正常使用是不會有什么危險的，但是如果用戶輸入的數據被構造成惡意 SQL 代碼，Web 應用又未對動態構造的 SQL 語句使用的參數進行檢查，則會帶來意想不到的危險!

廢話也不多說來，下面我們就一起來看看，黑客是如何繞過參數檢查，從而實現竊取數據的目的!

1. SQL 注入示例一：猜解數據庫

下面我們使用DVWA 滲透測試平臺，作為攻擊測試的目標，讓你更加清楚的理解 SQL 注入猜解數據庫是如何發生的。

啟動服務之后，首先觀察瀏覽器中的URL，先輸入 1 ，查看回顯!

從圖中可以看出，ID : 1，First Name：admin，Surname：Admin信息!

那后臺執行了什么樣的 SQL 語句呢?點擊view source查看源代碼 ，其中的 SQL 查詢代碼為：

SELECT first_name, last_name FROM users WHERE user_id = '1'; 

OK!

如果我們不按常理出牌，比如在輸入框中輸入1' order by 1#。

實際執行的 SQL 語句就會變成這樣：

SELECT first_name, last_name FROM users WHERE user_id = '1' order by 1# 

這條語句的意思是查詢users表中user_id為1的數據并按第一字段排行。

其中#后面的 SQL 語句，都會當作注釋進行處理，不會被執行!

輸入 1' order by 1#和 1' order by 2#時都能返回正常!

當輸入1' order by 3#時，返回錯誤!

由此得知，users表中只有兩個字段，數據為兩列!

接下來，我們玩點高級的!

我們使用union select聯合查詢繼續獲取信息!

直接在輸入框中輸入1' union select database(),user()#進行查詢!

實際執行的Sql語句是：

SELECT first_name, last_name FROM users WHERE user_id = '1' union select database(),user()#' 

通過返回信息，我們成功獲取到：

• 當前網站使用數據庫為dvwa
• 當前執行查詢用戶名為root@localhost

接下來我們嘗試獲取dvwa數據庫中的表名!

在輸入框中輸入1' union select table_name,table_schema from information_schema.tables where table_schema= 'dvwa'#進行查詢!

實際執行的Sql語句是：

SELECT first_name, last_name FROM users WHERE user_id = '1' union select table_name,table_schema from information_schema.tables where table_schema= 'dvwa'#' 

通過上圖返回信息，我們再獲取到：dvwa 數據庫有兩個數據表，分別是 guestbook 和 users

可能有些同學還不夠滿足，接下來嘗試獲取重量級的用戶名、密碼!

根據經驗我們可以大膽猜測users表的字段為 user 和 password，所以輸入：1' union select user,password from users#進行查詢：

實際執行的Sql語句是：

SELECT first_name, last_name FROM users WHERE user_id = '1' union select user,password from users#' 

可以看到成功爆出了用戶名、密碼，密碼通過猜測采用 md5 進行加密，可以直接到www.cmd5.com網站進行解密。

2. SQL 注入示例二：驗證繞過

接下來我們再試試另一個利用 SQL 漏洞繞過登錄驗證的示例!

這是一個普通的登錄頁面，只要輸入正確的用戶名和密碼就能登錄成功。

我們先嘗試隨意輸入用戶名 123 和密碼 123 登錄!

好像不太行，登錄被攔截，從錯誤頁面中我們無法獲取到任何信息!

點擊view source查看源代碼 ，其中的 SQL 查詢代碼為：

select * from users where username='123' and password='123' 

按照上面示例的思路，我們嘗試在用戶名中輸入 123' or 1=1 #, 密碼同樣輸入 123' or 1=1 #。

恭喜你，登錄成功!

為什么能夠登陸成功呢?實際執行的語句是：

select * from users where username='123' or 11=1 #' and password='123' or 11=1 #' 

按照 Mysql 語法，# 后面的內容會被忽略，所以以上語句等同于：

select * from users where username='123' or 11=1 

由于判斷語句 or 1=1 恒成立，所以結果當然返回真，成功登錄!

我們再嘗試不使用 # 屏蔽單引號，在用戶名中輸入 123' or '1'='1, 密碼同樣輸入 123' or '1'='1。

依然能夠成功登錄，實際執行的 SQL 語句是：

select * from users where username='123' or '1'='1' and password='123' or '1'='1' 

兩個 or 語句使 and 前后兩個判斷永遠恒等于真，所以能夠成功登錄!

3. SQL 注入示例三：判斷注入點

通常情況下，可能存在 SQL 注入漏洞的 Url 是類似這種形式 ：http://xxx.xxx.xxx/abcd.php?id=XX。

對 SQL 注入的判斷，主要有兩個方面：

• 判斷該帶參數的 Url 是否可以進行 SQL 注入
• 如果存在 SQL 注入，那么屬于哪種 SQL 注入

可能存在 SQL 注入攻擊的動態網頁中，一個動態網頁中可能只有一個參數，有時可能有多個參數。有時是整型參數，有時是字符串型參數，不能一概而論。

總之，只要是帶有參數的動態網頁且此網頁訪問了數據庫，那么就有可能存在 SQL 注入。

例如現在有這么一個 URL 地址：http://xxx/abc.php?id=1

首先根據經驗猜測，它可能執行如下語句進行查詢：

select * from <表名> where id = x 

因此，在 URL 地址欄中輸入http://xxx/abc.php?id= x and '1'='1頁面依舊運行正常，繼續進行下一步!

當然不帶參數的 URL 也未必是安全的，現在有很多第三方的工具，例如postman工具，一樣可以模擬各種請求!

黑客們在攻擊的時候，同樣會使用各種假設法來驗證自己的判斷!

三、如何預防 SQL 注入呢

上文中介紹的 SQL 攻擊場景都比較基礎，只是簡單的向大家介紹一下!

那對于這種黑客攻擊，我們有沒有什么辦法呢?

答案肯定是有的，就是對前端用戶輸入的所有的參數進行審查，最好是全文進行判斷或者替換!

例如，當用戶輸入非法字符的時候，使用正則表達式進行匹配判斷!

private String CHECKSQL = "^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$"; 
Pattern.matches(CHECKSQL,targerStr); 

或者，全局替換，都可以!

public static String TransactSQLInjection(String sql) { 
   return sql.replaceAll(".*([';]+|(--)+).*", " ");    
} 

還可以采用預編譯的語句集!

例如當使用Mybatis的時候，盡可能的用#{}語法來傳參數，而不是${}!

舉個例子!

如果傳入的username 為 a' or '1=1,那么使用 ${} 處理后直接替換字符串的sql就解析為

select * from t_user where username = 'a' or '11=1' 

這樣的話所有的用戶數據就被查出來了，就屬于 SQL 注入!

如果使用#{}，經過 sql動態解析和預編譯，會把單引號轉義為 \'，SQL 最終解析為

select * from t_user where username = "a\' or \'1=1 " 

這樣會查不出任何數據，有效阻止 SQL 注入!