安全笔记：SQL注入

攻击者目标：
找到下发请求中涉及使用输入参数直接构造SQL的场景（不一定是界面输入，可能是隐藏的参数，不要求是执行语句，查询语句也存在SQL注入），
1.这个参数：没有做参数预编译PreparedStatement，预编译后参数是’参数值’来拼接的，否则会直接拼接SQL。当我们输入不同的非法值（比如1=1,1=2）,返回的响应值不同，则很有可能为注入点。当前大部分系统对select参数都会做预编译，但是order by 和limit后跟的参数是无法预编译，是常见注入点。
2.查看响应消息和后台日志中是否有数据库异常信息。SQL注入不一定要执行成功的SQL语句，有时构造报错的SQL语句也有可能爆出数据库信息。

攻击方法：
https://www.freebuf.com/column/145988.html
https://www.cnblogs.com/pursuitofacm/p/6706961.html
1.报错语句：如果系统打印数据库异常信息，则使用报错注入即可。构造特殊的报错语句，爆出后台ip、用户、版本等信息。参考： and (updatexml(1,concat(0x7e,(select user())),0))
2.如果不打印错误信息，考虑是否能联合union语句：任何select后面跟随都可以实现SQL注入。但是如果select语句后面带了order by或者limit，则union之前的语句需要用括号包裹，否则会执行失败。参考:union (select 1,(version()),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17)
3.否则，需要考虑盲注。即通过注入点注入猜测的值，比如数据库版本号，影响SQL语句的执行结果，来判断猜测的值是否正确。参考：order by 1^(select (select version()) regexp ‘^5’)
4.其他：如果想注入的sql后面还拼接了其他语句，可以用–注释符号使其不生效。

攻击步骤：
1.检测注入点
2.数据库爆破
3.字段爆破（二分法查找）
4.数据库表爆破
5.数据库表字段爆破

防御方法：
1.hibernate等代码中的sql，使用？进行参数传递和预编译
2.mybaties在xml中配置，使用#,不要使用$