简介

SQL注入攻击(英语:SQL injection),简称SQL攻击或注入攻击,是发生于应用程序与数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了字符检查,那么这些注入进去的恶意指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。

什么时候容易发生SQL注入攻击?

  1. 使用字符串拼接方式组装SQL指令
  2. 使用权限过大的账户连接数据库(比如root账户)
  3. 未对用户输入的数据做潜在指令的检查,未限制输入的特殊字符

作用原理

  1. 多个SQL命令可串接,以分号字符做分割
  2. SQL命令对于传入的字符串参数是用单引号字符所包起来。(但连续2个单引号字符,在SQL数据库中,则视为字符串中的一个单引号字符)
  3. SQL命令中,可以注入注解(连续2个减号字符 – 后的文字为注解,或“/”与“/”所包起来的文字为注解)
  4. 因此,在组合SQL的命令时,未针对单引号字符作跳脱处理的话,将导致该字符变量在填入命令字符串时,被恶意窜改原本的SQL语法的作用

例子

某个网站的登录验证的SQL查询代码为

strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"

恶意填入

userName = "1' OR '1'='1";

passWord = "1' OR '1'='1";

时,将导致原本的SQL字符串被填为

strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"

也就是实际上运行的SQL命令会变成下面这样的

strSQL = "SELECT * FROM users;"

因此达到无账号密码,亦可登录网站。所以SQL注入攻击被俗称为黑客的填空游戏

可能造成的危害

  1. 数据表中的数据外泄,例如企业及个人机密数据,账户数据,密码等
  2. 数据结构被黑客探知,得以做进一步攻击(例如SELECT * FROM sys.tables)
  3. 数据库服务器被攻击,系统管理员账户被窜改(例如ALTER LOGIN sa WITH PASSWORD=‘xxxxxx’)
  4. 经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统(例如xp_cmdshell “net stop iisadmin”可停止服务器的IIS服务)
  5. 破坏硬盘数据,瘫痪全系统(例如xp_cmdshell “FORMAT C:“)

避免的方法

  1. 在设计应用程序时,完全使用参数化查询(Parameterized Query)来设计数据访问功能
  2. 使用SQL防注入系统,例如使用ORM

参数化查询

参数化查询(Parameterized Query或Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数(Parameter)来给值,这个方法目前已被视为最有效可预防SQL注入攻击的攻击手法的防御方式

  • 相比起拼接字符串的SQL语句,参数化的查询往往有性能优势,能让不同的数据通过参数到达数据库,从而公用同一条SQL语句
  • 大多数数据库会缓存解释SQL语句产生的字节码而省下重复解析的开销。如果采取拼接字符串的SQL语句,则会由于操作数据是SQL语句的一部分而非参数的一部分,而反复大量解释SQL语句产生不必要的开销。

原理

在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部分来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有具破坏性的指令,也不会被数据库所运行

参数化查询SQL指令如何编写?

MySQL的参数格式是以”@“字符加上参数名称而成

set @c1 := xxx;
set @c2 := xxx; 
set @c3 := xxx;
set @c4 := xxx;
UPDATE myTable SET c1 = @c1, c2 = @c2, c3 = @c3 WHERE c4 = @c4

客户端代码如何编写?

Java中使用JDBC

//JDBC
java.sql.PreparedStatement prep = connection.prepareStatement(
                "SELECT * FROM users WHERE USERNAME = ? AND PASSWORD = ?");
prep.setString(1, username);
prep.setString(2, password);
prep.executeQuery();