SQL注入--最基础版

什么是SQL注入攻击

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入

攻击本质

后端把用户输入的数据当做数据库代码执行

关键点：
1.用户能够控制输入
2.原本程序要执行的代码，拼接了用户输入的数据并且执行了

判断是否存在漏洞

数据库很智能，可以做加减乘除（原本正常的所有的传参被当做字符串执行，不会当做代码执行，只有当做代码执行了才会有意义）

也可以用逻辑运算判断，sleep（x），睡x秒钟，页面返回变慢
1+1可能没有意义：URL栏有独特的编码，在URL栏中 +=>空格，所以在使用1+1的时候，要把 + 转译成 %2b（1+1=>1%2b1）

流程图：

靶场：掌控安全

过程（以最简单的为例）

1.原页面改变，说明我们输入的数据执行了

2.猜解字段

• 3行4不行，说明只有3个字段

3.判断回显点

• 2,3是回显点，内容会在此输出

4.猜 库，表，列名
库名：error
表名列名

5.目标

结果

补充小知识：
a. 把用户输入的数据当做前端代码执行叫xss，把用户输入的数据当做xml执行叫xxe
b.字符串型与数字型：

    1. 字符串型：当输入的参数为字符串时，称为字符型。
    2.数字型：当输入的参数为整形时，如果存在注入漏洞，可以认为是数字型注入
    字符型和数字型最大的一个区别在于，数字型不需要单引号来闭合，而字符串一般需要通过单引号来闭合的。例如数字型语句：select * from table where id =3则字符型如下：select * from table where name=’admin’因此，在构造payload时通过闭合单引号可以成功执行语句：测试步骤：（1） 加单引号：select * from table where name=’admin’’由于加单引号后变成三个单引号，则无法执行，程序会报错；（2） 加 ’and 1=1 此时sql 语句为：select * from table where name=’admin’ and 1=1’ ,也无法进行注入，还需要通过注释符号将其绕过；

c.— —空格qwe:— —空格在数据库中是注释的意思，但后面一般要加点东西，因为空格容易被过滤掉，所以要加点东西使它不被过滤

SQL防御：

1. 采用sql语句预编译和绑定变量，是防御sql注入的最佳方法

其原因就是：采用了PreparedStatement，就会将sql语句预先编译好，也就是SQL引擎会预先进行语法分析，产生语法树，生成执行计划，也就是说，后面你输入的参数，无论你输入的是什么，都不会影响该sql语句的语法结构了，因为语法分析已经完成了，而语法分析主要是分析sql命令，比如
select ,from ,where ,and, or ,order by等等。所以即使你后面输入了这些sql命令，也不会被当成sql命令来执行了 ，因为这些sql命令的执行，
必须先的通过语法分析，生成执行计划，既然语法分析已经完成，已经预编译过了，那么后面输入的参数，是绝对不可能作为sql命令来执行的，只会被当做字符串字面值参数，所以sql语句预编译可以防御sql注入。

2. 输入进行严格的转义和过滤(过滤原则：对用户输入的数据进行判断（通过测试类型、长度、格式和范围来验证用户输入，过滤用户输入的内容），用黑名单，或者白名单的方式验证，或者替换危险字符)
3. 通过正则表达校验用户输入

我们可以通过正则表达式校验用户输入数据中是包含：对单引号和双引号进行转换等字符。校验输入数据中是否包含SQL语句的保留字，如：WHERE，EXEC，DROP等

4. 别把敏感性数据在数据库里以明文存放

免费注入靶场：sqli-labs