SQL注入测评教程：从原理到实战的完整指南

一、SQL注入的核心原理与危害

SQL注入（SQL Injection）是Web应用中最常见的安全漏洞之一，攻击者通过在用户输入中插入恶意SQL代码，篡改数据库查询逻辑，从而获取、修改或删除敏感数据。其本质是未对用户输入进行充分过滤或参数化处理，导致SQL语句被恶意拼接。

1.1 攻击原理示例

假设一个登录系统使用以下SQL查询验证用户：

SELECT * FROM users WHERE username = '$username' AND password = '$password';

若攻击者输入username=admin' --，密码任意，则SQL变为：

SELECT * FROM users WHERE username = 'admin' --' AND password = '...';

--是SQL注释符，后续条件被忽略，攻击者直接以admin身份登录。

1.2 典型危害

• 数据泄露：窃取用户信息、密码、信用卡数据等。
• 数据篡改：修改订单状态、账户余额等。
• 系统破坏：删除表、清空数据库（如DROP TABLE users;）。
• 权限提升：通过联合查询获取管理员权限。

二、SQL注入的分类与实战场景

根据攻击方式，SQL注入可分为以下几类，每种需采用不同的测评方法。

2.1 基于错误的注入（Error-Based）

原理：通过构造错误输入，观察数据库报错信息获取结构。
示例：

1. 输入admin'，若返回You have an error in your SQL syntax，说明存在注入点。
2. 进一步输入admin' AND 1=CONVERT(int, (SELECT @@version))--，通过错误信息获取数据库版本。

测评步骤：

1. 定位可能存在注入的参数（如搜索框、登录表单）。
2. 输入单引号'，观察是否返回数据库错误。
3. 使用AND 1=1（正常）和AND 1=2（异常）验证注入点。

2.2 基于布尔的盲注（Boolean-Based Blind）

原理：通过页面返回的True/False差异推断数据。
示例：

• 判断数据库名长度：admin' AND LEN(DB_NAME())>5--
• 逐字符猜测：admin' AND ASCII(SUBSTRING(DB_NAME(),1,1))>97--

测评工具：

• Burp Suite的Intruder模块自动化测试。
• SQLMap的--technique B参数进行布尔盲注。

2.3 基于时间的盲注（Time-Based Blind）

原理：通过延迟响应判断条件真假。
示例：

admin' AND IF(1=1, SLEEP(5), 0)--  # 延迟5秒返回
admin' AND IF(SUBSTRING((SELECT password FROM users LIMIT 1),1,1)='a', SLEEP(5), 0)--

适用场景：当错误信息被隐藏时（如仅返回“用户不存在”）。

2.4 联合查询注入（UNION-Based）

原理：利用UNION合并多个查询结果获取数据。
步骤：

1. 确定列数：ORDER BY 1--逐步增加数字，直到页面报错。
2. 注入联合查询：admin' UNION SELECT 1,2,3--，观察哪些列显示在页面上。
3. 提取数据：admin' UNION SELECT null,username,password FROM users--

注意事项：

• 联合查询的列数和数据类型需匹配。
• 可用NULL填充不显示的列。

三、SQL注入测评工具与自动化

3.1 手动测试工具

• 浏览器开发者工具：修改请求参数测试注入。
• Postman：发送自定义HTTP请求。
• 命令行工具：curl或wget构造恶意请求。

3.2 自动化工具

SQLMap

功能：自动检测、利用SQL注入漏洞。
常用命令：

sqlmap -u "http://example.com/login" --data="user=admin&pass=test" --level=5 --risk=3
sqlmap -u "http://example.com/id?id=1" --technique=BEU --dump

参数说明：

• --level：检测深度（1-5）。
• --risk：风险等级（1-3，越高越可能破坏数据）。
• --technique：指定注入技术（B-布尔，E-错误，U-联合查询等）。

Burp Suite

流程：

1. 拦截请求，修改参数为admin'*。
2. 发送到Intruder模块，设置Payload为admin' AND ${payload}。
3. 使用SQLi类型的Payload列表进行测试。

四、防御策略与最佳实践

4.1 输入验证与过滤

• 白名单验证：仅允许特定字符（如字母、数字）。
• 转义特殊字符：对单引号、双引号等进行转义。
• 示例代码（PHP）：

  $username = mysqli_real_escape_string($conn, $_POST['username']);
  $password = hash('sha256', $_POST['password']); // 密码哈希存储

4.2 参数化查询（Prepared Statements）

原理：将SQL语句与数据分离，避免拼接。
示例（Python）：

import pymysql
conn = pymysql.connect(host='localhost', user='root', password='', db='test')
cursor = conn.cursor()
username = "admin"
password = "test"
# 安全方式：参数化查询
cursor.execute("SELECT * FROM users WHERE username = %s AND password = %s", (username, password))

4.3 最小权限原则

• 数据库用户仅授予必要权限（如仅SELECT，无DROP）。
• 避免使用root或sa等高权限账户。

4.4 Web应用防火墙（WAF）

• ModSecurity：开源WAF，规则集包含SQL注入防护。
• 云WAF：如阿里云WAF、腾讯云WAF，提供自动化防护。

五、真实案例分析

案例1：某电商平台的订单篡改

漏洞：订单查询接口未过滤order_id参数。
攻击：输入1 OR 1=1获取所有订单，修改price字段。
修复：改用参数化查询，限制order_id为数字。

案例2：某银行系统的数据泄露

漏洞：登录页面存在时间盲注。
攻击：通过SLEEP(5)逐字符提取管理员密码。
修复：启用错误日志隐藏，部署WAF拦截异常请求。

六、总结与建议

1. 定期测评：每季度进行一次渗透测试，重点检查输入参数。
2. 工具结合：手动测试与SQLMap、Burp Suite结合使用。
3. 防御优先：采用参数化查询和最小权限原则。
4. 监控与响应：部署日志分析系统，实时告警可疑SQL。

通过系统化的测评与防御，可显著降低SQL注入风险，保护企业数据安全。