什么是SQL注入？该如何防范

原创于 2025-08-07 15:23:10 发布 · 1.1k 阅读

24 ·

CC 4.0 BY-SA版权

文章标签：

#SQL注入 #SIEM

SIEM 专栏收录该内容

56 篇文章

订阅专栏

SQL注入攻击是安全运营中心（SOC）面临的常见问题，IT运营团队一直在寻找补救这些攻击的方法。用户提供（或外部）输入与程序指令（即代码）之间缺乏严格分离，是注入攻击的根本原因。因此，数据片段很容易被注入恶意代码。由于这种分离的缺失，应用程序可能会运行攻击者创建的恶意代码。

什么是SQL注入

SQL注入攻击是一种针对Web应用程序数据库层的攻击方式，攻击者通过在用户输入中插入恶意SQL代码，欺骗数据库执行非授权操作，获取本不应被展示的数据。这些数据可能包括用户隐私、企业敏感信息等。

SQL注入攻击造成的危害

SQL注入攻击可能导致数据泄露、数据丢失和未授权访问等严重后果。

数据泄露：读取、编辑和删除服务器上的机密或私人文件，包括用户密码、银行账户、信用卡号、私人图像或视频等信息。
数据篡改与删除：修改或删除数据库内容，破坏数据完整性。
权限提升与服务中断：
- 绕过登录认证（例如使用 ’ OR ‘1’='1 注入），获取管理员权限。
- 通过恶意查询耗尽数据库资源，导致服务瘫痪。
恶意操作：
- 在服务器上植入木马或恶意脚本。
- 利用存储过程获取操作系统权限。

SQL注入的原理和流程

SQL注入攻击的目标是篡改或窃取应用程序所通信的数据库中的数据。这些控制字符与标准SQL命令（如SELECT、FROM、DELETE）结合使用时，能够访问或检索后端数据库服务器的数据组件。

SQL注入的本质是混淆了代码与数据的边界，应用程序将用户输入直接拼接到SQL查询语句中，未做过滤或转义，导致输入内容被数据库解析为可执行代码。

例如：登录查询语句 SELECT * FROM users WHERE username=‘ $u se r^{'} A N D p a ss w or d =^{'}$ pass’，若用户输入 admin’ OR ‘1’='1，则查询变为 SELECT * FROM users WHERE username=‘admin’ OR ‘1’=‘1’，绕过密码验证。

以下是SQL注入攻击的过程：

	操作与目的	示例方法
侦察与探测	寻找注入点（如登录页、搜索框、URL参数）并验证漏洞是否存在。	输入单引号（‘）观察是否报错；尝试逻辑测试（id=1’ AND ‘1’='1 返回正常 vs. AND ‘1’='2 异常）
判断数据库类型	确定数据库类型（MySQL/Oracle/MSSQL等），以便针对性构造语句。	通过报错信息或函数差异判断：如 @@version（MSSQL） vs. version()（MySQL）
利用漏洞	根据注入类型构造恶意语句，实现数据泄露或系统控制。	联合查询注入：UNION SELECT user(), database() 获取敏感信息；时间盲注：IF(1=1, SLEEP(5), 0) 通过响应延迟推断数据
权限提升与后渗透	尝试提权或执行高危操作（如读写文件、执行系统命令）。	MSSQL中启用 xp_cmdshell 执行系统命令； MySQL利用 INTO OUTFILE 写入Web Shell
清除痕迹	删除日志、关闭后门，掩盖攻击行为。	删除数据库日志表或覆盖系统日志文件

在这里插入图片描述

SQL注入类型分类

一、基于注入位置的分类

数字型注入 (Numeric Injection)

特征：注入点参数为数字类型（如ID、页码），无需闭合引号。
例如：输入 1 OR 1=1 篡改查询 SELECT * FROM products WHERE id=1 OR 1=1，返回全部数据。
防御：严格验证输入为数字类型。

字符串型注入 (String Injection)

特征：注入点参数为字符串（如用户名、关键词），需闭合单引号/双引号。
例如：输入 ’ OR ‘1’=‘1 篡改查询 SELECT * FROM users WHERE username=’’ OR ‘1’=‘1’，绕过登录验证。
防御：参数化查询 + 转义特殊字符。

二、基于回显结果的分类

显式回显注入 (Union-Based Injection)

特征：利用 UNION SELECT 合并查询结果，直接回显敏感数据。
例如：注入 1 UNION SELECT username, password FROM users–，泄露用户凭证。
防御：禁用动态拼接 UNION 语句。

报错注入 (Error-Based Injection)

特征：故意触发数据库错误（如除零、无效语法），通过错误信息泄露表结构或数据。
例如：注入 ’ AND (SELECT 1/0 FROM dual)–，错误提示暴露表名。
防御：关闭详细错误回显（生产环境返回通用错误页）。

盲注 (Blind Injection)

布尔盲注：通过页面状态差异（真/假）推断数据。
- 例如：admin’ AND SUBSTR(password,1,1)=‘a’–，页面正常说明密码首字母为 a。
时间盲注：利用响应延迟判断条件真假。
- 例如：1’; IF(SUBSTR(database(),1,1)=‘a’, SLEEP(5),0)–，响应延迟5秒说明数据库名首字母为 a。
- 防御：统一错误页面 + 限制SQL执行时间。

三、基于攻击手法的分类

堆叠查询注入 (Stacked Queries)

特征：用分号 ; 追加多条SQL语句，执行破坏性操作（需数据库支持多语句）。
例如：注入 1; DROP TABLE users;-- 删除用户表。
防御：禁用多语句执行（如JDBC设置 allowMultiQueries=false）。

二阶注入 (Second-Order Injection)

特征：恶意数据先存储于数据库，后续查询时触发执行。
例如：注册用户名 admin’–，登录时触发注入绕过验证。
防御：存储数据时也需过滤（非仅输入点）。

四、特殊场景注入

宽字节注入 (GBK Bypass)

特征：利用GBK等宽字符编码绕过转义（如 %bf%27 被解析为合法字符）。
防御：统一使用UTF-8编码 + 预编译。

带外注入 (Out-of-Band Injection)

特征：通过DNS、HTTP请求等带外通道窃取数据，用于绕过传统防御。
例如：注入触发数据库向攻击者服务器发送DNS查询，泄露数据。
防御：限制数据库外连权限。

如何预防SQL注入

结合代码实践、数据库配置和系统架构三个层面，以下是防范SQL注入的综合方案：

一、代码层面防御措施

1、强制使用参数化查询（最核心措施）

原理：将SQL语句结构与用户输入分离，输入内容仅视为数据而非可执行代码。
实现方式：
- Java：PreparedStatement + 参数绑定（setString()等）
- Python（MySQLdb）：cursor.execute(“SELECT * FROM users WHERE id = %s”, (user_id,))
- MyBatis框架：使用#{}占位符而非${}拼接
效果：彻底避免输入内容篡改SQL逻辑（如’ OR ‘1’='1失效）。