本文介绍了SQL注入漏洞的概念,包括布尔型、报错型、联合查询和多语句查询等注入类型及其危害。攻击者可借此获取数据库权限和数据。防范措施包括预编译SQL、转换输入内容和避免SQL异常信息泄露。
1、 什么是SQL注入漏洞
SQL注入是指应用程序直接将用户输入的内容拼接到SQL语句中。由于用户输入的内容也是SQL中的一部分,攻击者可以注入自己定义的语句该院原SQL的逻辑。通过控制SQL语句,达到提权(获取数据库服务器系统权限)或拖库(查询数据库中任何数据)的目的。
2、 SQL注入的类型
布尔型注入:盲注的一种,指的是利⽤SQL语句“逻辑与(and)”操作,判断and两边的条件是否成⽴,SQL语句带⼊输⼊查询后判断返回内容(通常返回值仅有⾮空和空两种状态),类似布尔型的true和false的两种状态。
报错型注入:没有正常的输出位,利用数据库的某些函数,在执行SQL时产生错误并输出显示。
联合查询注入:通过联合查询合并多个结果集,获取需要的数据。
多语句查询注入:利用多语句查询函数,一次性执行多条语句。
基于时间延时注入:盲注的⼀种。通过构造延时注⼊语句后,浏览器页⾯的响应时间来判断正确的数据。
3、 SQL注入的危害
在特定的条件下,攻击者可以查询数据库中任何数据,同时可以获取数据库服务器系统权限,甚至基于数据库服务器作为跳板进入内网。
4、 SQL注入漏洞防守方法
在了解了常见的注入类型及手段之后,需要针对不同的应用程序及场景进行漏洞防护。防护本质:预编译用户输入数据组成的SQL,使其无法执行;无法预编译的输入,代码层转换输入内容为特定数据;SQL异常信息禁止输出至页面。
以Java程序中MyBatis为例,针对SQL注入漏洞需要注意的事项。
1、普通条件查询语句,利用sql的预编译机制。
<select id="selectTable">
SELECT field_name FROM table_name WHERE 1 = 1
<if test="condition != null">
AND field_name = #{condtion}
</if>
</select>
2、like条件查询语句,利用sql的预编译机制。
<select id="selectTable">
SELECT field_name FROM table_name WHERE 1 = 1
<if test="condition != null">
AND field_name like CONCAT('%', #{condition}, '%')
</if>
</select>
3、in条件查询语句,利用sql的预编译机制。
<select id="selectTable">
SELECT field_name FROM table_name WHERE 1 = 1
<if test="conditionArray != null">
field_name in
<foreach collection="conditionArray" item="item" open="(" close=")" separator=",">
#{item}
</foreach>
</if>
</select>
4、order by语句。由于Mybatis中order by语句只能拼接,所以需要在代码层控制传入参数,禁止直接将用户数据数据传入SQL语句中。
<select id="selectTable">
SELECT field_name FROM table_name WHERE 1 = 1
<if test="sortField != null and sortBy != null">
ORDER BY ${sortField} ${sortBy}
</if>
</select>
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
