SQL 注入(SQL Injection) 是一种常见的网络攻击技术,攻击者通过在应用程序的输入参数中插入恶意 SQL 语句,欺骗数据库执行非预期的操作,从而窃取、篡改或破坏数据,甚至控制数据库服务器。其本质是应用程序未对用户输入进行严格过滤或转义,导致恶意 SQL 代码被拼接进正常的 SQL 查询中并执行。
一、SQL 注入的原理
应用程序通常需要根据用户输入(如表单提交、URL 参数等)动态生成 SQL 查询。例如,用户登录时,应用可能执行如下查询:
sql
SELECT * FROM users WHERE username = '用户输入的用户名' AND password = '用户输入的密码';
如果应用直接将用户输入拼接进 SQL 语句,攻击者可以构造特殊输入来改变 SQL 的逻辑。
示例:
若用户输入的用户名为 ' OR '1'='1,密码任意,则拼接后的 SQL 变为:
sql
SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '任意值';
由于 '1'='1' 恒为真,该查询会返回所有用户数据,攻击者无需正确密码即可登录。
二、常见的 SQL 注入攻击场景
-
登录验证绕过
如上述示例,通过构造' OR 1=1 --等输入,直接绕过用户名 / 密码验证。
(--是 SQL 注释符号,会忽略后续语句,避免语法错误) -
数据窃取
攻击者通过注入UNION SELECT语句窃取敏感数据,例如:
输入' UNION SELECT username, password FROM users --,可能返回用户表中的账号密码。 -
数据篡改或删除
注入UPDATE或DELETE语句破坏数据,例如:
输入'; DELETE FROM users --,可能删除整个用户表数据。 -
服务器权限提升
若数据库账户权限过高,攻击者可能通过注入执行系统命令(如 MySQL 的system函数),控制服务器。
三、SQL 注入的危害
- 数据泄露:敏感信息(如用户隐私、商业数据)被窃取。
- 数据破坏:数据被篡改、删除,导致业务中断。
- 权限滥用:攻击者可能获取数据库或服务器的控制权。
- 合规风险:违反数据保护法规(如 GDPR、个人信息保护法),面临法律追责。
四、如何防范 SQL 注入?
-
使用参数化查询(PreparedStatement)
最有效的方式。将 SQL 语句与用户输入分离,输入作为参数传递,而非直接拼接。
示例(Java):java
// 错误:直接拼接输入 String sql = "SELECT * FROM users WHERE username = '" + username + "'"; // 正确:使用参数化查询 String sql = "SELECT * FROM users WHERE username = ?"; PreparedStatement stmt = connection.prepareStatement(sql); stmt.setString(1, username); // 输入作为参数,自动转义 -
输入验证与过滤
对用户输入进行严格校验,只允许合法字符(如限制用户名只能包含字母、数字),过滤或转义特殊字符(如'、;、--)。 -
最小权限原则
数据库账户仅授予必要权限(如查询权限),禁止使用root等超级权限账户连接应用。 -
使用 ORM 框架
如 MyBatis、Hibernate 等框架默认采用参数化查询,减少手动拼接 SQL 的风险(但需注意避免在 XML 或注解中直接拼接输入)。 -
定期安全审计与漏洞扫描
使用工具(如 OWASP ZAP)检测应用中的 SQL 注入漏洞,及时修复。 -
避免直接暴露数据库错误信息
错误信息(如 “表 users 不存在”)可能泄露数据库结构,应返回统一的模糊错误提示。
扫一扫
26万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
