SQL注入,“骇客的填空游戏”

本文介绍了SQL语言的基础知识及其在数据库管理中的应用,并详细探讨了SQL注入攻击的工作原理、实际案例及潜在危害。
  • SQL简介:
    SQL是高级的非过程化编程语言,它允许用户在高层数据结构上工作。它不要求用户指定对数据的存放方法,也不需要用户了解其具体的数据存放方式。而它的界面,能使具有底层结构完全不同的数据库系统和不同数据库之间,使用相同的SQL作为数据的输入与管理。它以记录项目〔records〕的合集(set)〔项集,record set〕作为操纵对象,所有SQL语句接受项集作为输入,回提交的项集作为输出,这种项集特性允许一条SQL语句的输出作为另一条SQL语句的输入,所以SQL语句可以嵌套,这使它拥有极大的灵活性和强大的功能。在多数情况下,在其他编程语言中需要用一大段程序才可实践的一个单独事件,而其在SQL上只需要一个语句就可以被表达出来。这也意味着用SQL可以写出非常复杂的语句。

  • 数据库分为关系型数据库,非关系型数据库和键值数据库

  • 关系型数据库 :
    MySQL
    PostgreSQL
    Microsoft Access
    Microsoft SQL Server
    Google Fusion Tables
    FileMaker
    Oracle数据库
    Sybase
    dBASE
    Clipper
    FoxPro
    几乎所有的数据库管理系统都配备了一个开放式数据库连接(ODBC)驱动程序,令各个数据库之间得以互相集成。
  • 非关系型数据库
    主条目:NoSQL
    BigTable(Google)
    Cassandra
    MongoDB
    CouchDB
  • 键值(key-value)数据库
    Apache Cassandra
    Dynamo
    LevelDB(Google)


关于SQL注入

  • SQL注入万变不离其宗,最后都是以盗取数据库中数据为目的。
  • 简称注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。
    有部分人认为SQL注入攻击是只针对Microsoft SQL Server而来,但只要是支持批处理SQL指令的数据库服务器,都有可能受到此种手法的攻击。
  • 作用原理
    1、SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字符为不同命令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等的条件式)
    2、SQL命令对于传入的字符串参数是用单引号字符所包起来。(但连续2个单引号字符,在SQL数据库中,则视为字符串中的一个单引号字符)
    3、SQL命令中,可以注入注解(连续2个减号字符 – 后的文字为注解,或“/”与“/”所包起来的文字为注解)
    4、因此,如果在组合SQL的命令字符串时,未针对单引号字符作替换处理的话,将导致该字符变量在填入命令字符串时,被恶意窜改原本的SQL语法的作用。


举例:
某个网站的登录验证的SQL查询代码为:

strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"

恶意填入userName = "1' OR '1'='1";passWord = "1' OR '1'='1";时,将导致原本的SQL字符串被填为

strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"

也就是实际上运行的SQL命令会变成下面这样的

strSQL = "SELECT * FROM users;"

因此达到无账号密码,亦可登录网站。所以SQL注入攻击被俗称为黑客的填空游戏

  • 由此我们可以看出,这个问题的严重性,特别是对带有VIP会员的中下企业。
    对于个人来说,机密数据泄露,账户数据和密码更是无所遁形。

  • 近些年相关的入侵事件:

003年骤雨计划

2010年澳大利亚网络攻击

2010年偿还行动

2011年DigiNotar黑客入侵事件

2011年突尼斯行动

2011年PSN个人信息泄露事件

2011年反安全行动

2012–2013年斯特拉特福公司电邮泄露事件

2012年领英黑客入侵事件

2013年南韩网络攻击

2013年Snapchat黑客入侵事件

2014年Tovar行动

2014年日本文殊核电站电脑病毒事件

2014年名人照片泄露事件

2014年心脏出血漏洞

2014年破壳漏洞

2014年贵宾犬漏洞

2014年索尼影业黑客入侵事件

2015年FREAK漏洞

2015年美国联邦人事管理局资料外泄案

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值