SQL注入的原理,危害及防范

最新推荐文章于 2024-05-31 09:31:11 发布
最新推荐文章于 2024-05-31 09:31:11 发布
阅读量9.9k 收藏 8
点赞数 4
分类专栏: mysql

SQL注入在英文中称为SQL Injection,是黑客对Web数据库进行攻击的常用手段之一。在这种攻击方式中,恶意代码被插入到查询字符串中,然后将该字符串传递到数据库服务器进行执行,根据数据库返回的结果,获得某些数据并发起进一步攻击,甚至获取管理员帐号密码、窃取或者篡改系统数据。

为了让读者了解SQL注入,首先我们举一个简单的例子。

首先,数据库中有一个表格:

USERS

ACCOUNT(主键)

PASSWORD

UNAME

 

 

 

 

有一个登录页面,输入用户的账号、密码,查询数据库,进行登录,为了将问题简化,我们仅仅将其SQL打印出来供大家分析。

login.jsp

 
 
  1. <%@ page language="java" import="java.util.*" 
pageEncoding="gb2312"%> 
  2. 欢迎登录  
  3. <form action="loginResult.jsp" method="post"> 
  4.     请您输入账号:  
  5.     <input name="account" type="text"> 
  6.     <BR> 
  7.     请您输入密码:  
  8.     <input name="password" type="password"> 
  9.     <input type="submit" value="登录"> 
  10. </form> 

运行,效果如下:

 

在文本框内输入查询信息,提交,能够到达loginResult.jsp显示登录结果。loginResult.jsp代码如下:

loginResult.jsp

 
 
  1. <%@ page language="java" import="java.util.*" 
pageEncoding="gb2312"%> 
  2. <%  
  3.     //获取账号密码  
  4.     String account = request.getParameter("account");  
  5.     String password = request.getParameter("password");  
  6.     if(account!=null)  
  7. {  
  8.         //验证账号密码  
  9.         String sql = "SELECT * FROM USERS WHERE ACCOUNT='"   
  10. + account   
  11. + "' AND PASSWORD='"   
  12. + password   
  13. + "'";  
  14.         out.println("数据库执行语句:<BR>" + sql);  
  15.     }   
  16. %> 

运行login.jsp,输入正常数据(如guokehua,guokehua):

 
提交,显示的结果是:
 

熟悉SQL的读者可以看到,该结果没有任何问题,数据库将对该输入进行验证,看能否返回结果,如果有,表示登录成功,否则表示登录失败。

但是该程序有漏洞。比如,客户输入账号为:" aa' OR 1=1 --",密码随便输入,如"aa":

 
查询显示的结果为:
 

该程序中,SQL语句为: 
 
 
  1. SELECT * FROM USERS WHERE ACCOUNT='aa' 
OR 11=1 --' AND PASSWORD='aa' 

其中,--表示注释,因此,真正运行的SQL语句是:

 
 
  1. SELECT * FROM USERS WHERE ACCOUNT='aa' OR 11=1 

此处,"1=1"永真,所以该语句将返回USERS表中的所有记录。网站受到了SQL注入的攻击。

另一种方法是使用通配符进行注入。比如,有一个页面,可以对学生的姓名(STUNAME)从STUDENTS表中进行模糊查询:同样,为了将问题简化,我们仅仅将其SQL打印出来供大家分析。

query.jsp

 
 
  1. <%@ page language="java" import="java.util.*" 
    pageEncoding="gb2312"%> 
  2. 欢迎查询  
  3. <form action="queryResult.jsp" method="post"> 
  4.     请您输入学生姓名的模糊资料:  
  5.     <input name="stuname" type="text"> 
  6.     <input type="submit" value="查询"> 
  7. </form> 

运行,效果如下:

 

在文本框内输入查询信息,提交,能够到达queryResult.jsp显示登录结果。queryResult.jsp代码如下:

queryResult.jsp

 
 
  1. <%@ page language="java" import="java.util.*" pageEncoding="gb2312"%> 
  2. <%  
  3.     //获取姓名  
  4.     String stuname = request.getParameter("stuname");  
  5.     if(stuname!=null&&!stuname.equals(""))  
  6. {  
  7.         String sql = "SELECT * FROM STUDENTS WHERE STUNAME LIKE '%"   
  8.                           + stuname   
  9.                           + "%'";  
  10.         out.println("数据库执行语句:<BR>" + sql);  
  11.     }   
  12.     else  
  13. {  
  14.         out.println("输入不正确!");  
  15.     }  
  16. %> 

运行query.jsp,输入正常数据(如guokehua),提交,效果为:

 
同样,该结果没有任何问题,数据库将进行模糊查询并且返回结果。如果什么都不输入,提交,效果为:
 

说明该程序不允许无条件的模糊查询。

但是该程序也有漏洞。比如,客户输入:" %'--":

 
查询显示的结果为:
 
该程序中,--表示注释,因此,真正运行的SQL语句是: 

 
 
  1. SELECT * FROM STUDENTS WHERE STUNAME LIKE '%%' 

该语句中,也会将STUDENTS中所有的内容显示出来。相当于程序又允许了无条件的模糊查询。

更有甚者,可以在文本框内输入:" %';DELETE FROM STUDENTS --":

查询显示的结果为:

 

这样,就可以删除表STUDENTS中所有的内容。

提示

该攻击中,数据库中表名STUDENTS可以通过猜测的方法得到,如果猜测不准确,那就没办法攻击了。

还有一种方法是直接通过DELETE语句进行注入,如有下面语句:

 
 
  1. String sql = "DELETE FROM BOOKS WHERE BOOKNAME='"   
  2. + bookName   
  3. + "'";  

其中,bookName为输入的变量。

如果bookName以正常数据输入,如输入Java,语句为:

 
 
  1. DELETE FROM BOOKS WHERE BOOKNAME='Java' 

正常,但是如果给bookName的值为:Java' OR 1=1 --,语句变为:

 
 
  1. DELETE FROM BOOKS WHERE BOOKNAME=' Java' OR 11=1 --' 

实际执行的语句为:

 
 
  1. DELETE FROM BOOKS WHERE BOOKNAME=' Java' OR 11=1 

可以将表中所有内容删除。

不仅仅SELECT语句会被注入,UPDATE语句也会被注入,如有下面表格:

 
 
  1. CREATE TABLE CUSTOMER (   
  2. ACCOUNT VARCHAR(25),  
  3. PASSWORD VARCHAR(25),  
  4. CNAME VARCHAR(25),   
  5. MONEY INT  
  6. )  

有一条语句,为:

 
 
  1. String sql = "UPDATE CUSTOMER SET CNAME ='"   
  2. + cname   
  3. + "' WHERE ACCOUNT='"   
  4. + account   
  5. + "'";  

其中,cname和account为输入的变量。

如果cname输入和account以正常数据输入,如输入"guokehua"," 0001",语句为:

 
 
  1. UPDATE CUSTOMER SET CNAME ='guokehua' WHERE ACCOUNT='0001' 

正常,但是如果给cname的值为:" guokehua', PASSWORD='111' --",account随便输入,如"111",语句变为:

 
 
  1. UPDATE CUSTOMER SET   
  2. CNAME ='guokehua'PASSWORD='111' --' WHERE ACCOUNT='111' 

就将所有记录的CNAME改为guokehua,密码改为111。

同样是上面那张表,如有INSERT语句:

 
 
  1. String sql = "INSERT INTO CUSTOMER VALUES('" 
  2. + account +"', '"  
  3. + password +"', '"  
  4. +cname +"', 0) "  

如果account、password和cname以正常数据输入,如输入"0001","akdj","guokehua",语句为:

 
 
  1. INSERT INTO CUSTOMER   
  2. VALUES('0001', 'akdj', 'guokehua',0)   

正常,但是如果给cname的值为:" guokehua', 1000) --",其他值和前面一样,语句变为:

 
 
  1. INSERT INTO CUSTOMER   
  2. VALUES('0001', 'akdj', ' guokehua', 1000) --',0)  
很明显,注册一个账号,默认的MONEY字段变成了1000。

SQL注入攻击的主要危害包括:

非法读取、篡改、添加、删除数据库中的数据;

盗取用户的各类敏感信息,获取利益;

通过修改数据库来修改网页上的内容;

私自添加或删除账号;

注入木马;等等。

由于SQL 注入攻击一般利用的是利用的是SQL 语法,这使得于所有基于SQL 语言标准的数据库软件,如SQL Server,Oracle,MySQL, DB2等都有可能受到攻击,并且攻击的发生和Web编程语言本身也无关,如ASP、JSP、PHP,在理论上都无法完全幸免。

SQL 注入攻击的危险是比较大的。很多其他的攻击,如DoS等,可能通过防火墙等手段进行阻拦,但是而对于SQL 注入攻击,由于注入访问是通过正常用户端进行的,所以普通防火墙对此不会发出警示,一般只能通过程序来控制,而SQL攻击一般可以直接访问数据库进而甚至能够获得数据库所在的服务器的访问权,因此,危害相当严重。

以上问题的解决方法有很多种,比较常见的有:

1:将输入中的单引号变成双引号。这种方法经常用于解决数据库输入问题,同时也是一种对于数据库安全问题的补救措施。

例如代码:

 
 
  1. String sql = "SELECT * FROM T_CUSTOMER 
    WHERE NAME='"     + name + "'"; 

当用户输入"Guokehua' OR 1=1 --"时,首先利用程序将里面的'(单引号)换成"(双引号),于是,输入就变成了:"Guokehua" OR 1=1 --",SQL代码变成了:

 
 
  1. String sql = "SELECT * FROM T_CUSTOMER WHERE
    NAME=' Guokehua"     OR 11=1 --'" 

很显然,该代码不符合SQL语法。

如果是正常输入呢?正常情况下,用户输入"Guokehua",程序将其中的'换成",当然,这里面没有单引号,结果仍是Guokehua,SQL为:

 
 
  1. String sql = "SELECT * FROM T_CUSTOMER
    WHERE NAME='Guokehua'"

这是一句正常的SQL

不过,有时候,攻击者可以将单引号隐藏掉。比如,用"char(0x27) "表示单引号。所以,该方法并不是解决所有问题的方法。

2:使用存储过程。

比如上面的例子,可以将查询功能写在存储过程prcGetCustomer内,调用存储过程的方法为:

 
 
  1. String sql = "exec prcGetCustomer'" +name + "'"; 

当攻击者输入"Guokehua' or 1=1 --"时,SQL命令变为:

 
 
  1. exec prcGetCustomer 'Guokehua' or 11=1 --' 

显然无法通过存储过程的编译。

注意,千万不要将存储过程定义为用户输入的SQL语句。如:

 
 
  1. CREATE PROCEDURE prcTest @input varchar(256)  
  2.       AS  
  3.             exec(@input) 

从安全角度讲,这是一个最危险的错误。

提示

实际上,用存储过程也不能完全防范本节出现的问题,有兴趣的读者可以设计另一个攻击方法。安全本身就是在攻防间进行的博弈,这也没有什么好奇怪的。

3:认真对表单输入进行校验,从查询变量中滤去尽可能多的可疑字符。

可以利用一些手段,测试输入字符串变量的内容,定义一个格式为只接受的格式,只有此种格式下的数据才能被接受,拒绝其他输入的内容,如二进制数据、转义序列和注释字符等。另外,还可以对用户输入的字符串变量进行类型、长度、格式和范围来进行验证并过滤,也有助于防治SQL注入攻击。

4:在程序中,组织SQL语句时,应该尽量将用户输入的字符串以参数的形式来进行包装,而不是直接嵌入SQL语言。

由于很多SQL注入都是把用户输入和原始的SQL语言嵌套组成查询语句来完成攻击,而参数不能被嵌套进入SQL查询语言,因此,该种措施可以在某种程度上防止SQL注入。不过,在不同的语言和产品里面,做法稍有不同,如:

如果使用Java系列,可以使用PreparedStatement代替Statement;

SQL Server数据库中可以使用存储过程,结合Parameters集合;Parameters集合提供了长度验证和类型检查的功能,Parameters集合内的内容将被视为字符值而不是可执行代码。

.net中,SQL语句可以用参数来包装;等等。

5:严格区分数据库访问权限。

在权限设计中,对于应用软件的使用者,一定要严格限制权限,没有必要给他们数据库对象的建立、删除等权限。这样,即使在收到SQL注入攻击时,有一些对数据库危害较大的工作,如DROP TABLE语句,也不会被执行,可以最大限度的减少注入式攻击对数据库带来的危害。

6:多层架构下的防治策略。

在多层环境下,用户输入数据的校验与数据库的查询被分离成多个层次。此时,应该采用以下方式来进行验证:

用户输入的所有数据,都需要进行验证,通过验证才能进入下一层;此过程与数据库分离的;

没有通过验证的数据,应该被数据库拒绝,并向上一层报告错误信息。

7:对于数据库敏感的、重要的数据,不要以明文显示,要进行加密。关于加密的方法,读者可以参考后面的章节。

8:对数据库查询中的出错信息进行屏蔽,尽量减少攻击者根据数据库的查询出错信息来猜测数据库特征的可能。

9:由于SQL注入有时伴随着猜测,因此,如果发现一个IP不断进行登录或者短时间内不断进行查询,可以自动拒绝他的登陆;也可以建立攻击者IP地址备案机制,对曾经的攻击者IP进行备案,发现此IP,直接拒绝。

10:可以使用专业的漏洞扫描工具来寻找可能被攻击的漏洞。


lifushan123
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SQL注入原理以及预防方案
qq_45632139的博客
06-25 8296
1、什么时SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生sql注入。 2、SQL注入原理 当我看到上面说什么是SQL注入时,我表示我
SQL注入原理以及危害
weixin_30649641的博客
01-16 577
SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。 基础原理 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合...
SQL注入危害原理
最新发布
weixin_53840353的博客
05-31 571
在Web应用开发中,SQL注入是一种常见的安全漏洞,它允许攻击者通过注入恶意的SQL语句来执行非法操作,甚至获取敏感数据。本篇博客将详细解释SQL注入危害原理,并提供一些解决方案,以帮助新人快速理解并避免这种安全威胁。
sql注入原理危害
qq_41679358的博客
08-03 3771
什么是SQLi 前端构造的SQL语句片段拼接到后台SQL语句中,后台缺乏正确识别和过滤,造成与其外的数据库查询结果。 SQLi的危害 从技术上来说:未授权、非法增删改查数据库内容,包括窃取信息、删除数据库、读写系统文件、执行命令等等; 从影响上来说:客户数据丢失、系统交易数据被篡改、网站首页被篡改。 SQLi分类 按照后台处理前端提交参数的类型来分,分两类:数字型注入和字符型注入。 按照请求方式分:GET、POST 按照其他分类方法,还有一些常见数据库注入类型:报错注入、盲注、延时注入、宽字节注入、二次
浅谈SQL注入原理危害
weixin_34216107的博客
03-13 196
(注:本文示例仅作学习交流之用) SQL注入是web开发者在日常开发中最容易犯的错误,很多童鞋都了解SQL INJECTION并且知道怎么去防范它,但是对于它的危害性认识不足,所以开发过程中稍有疏忽还是会留下漏洞。本文就不叙述什么是sql injection(SQL注入)了,而是通过一个互联网上的真实案例来分析下sql injection到底有哪些危害性,***者拿到这些...
简单讲讲SQL注入原理防御
xhxtalent的博客
11-25 1333
简单讲讲SQL注入 ​ ​ 代码注入是针对Web应用程序的主流攻击技术之一,在OWASP公布的TOP10(十大安全漏洞列表)名列前茅,所以SQL注入漏洞是不容小觑的,要深入了解其原理及防御手段。 在榜单中,A1注入injection:将不信任的数据作为命令或查询的一部分发生到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据,从而攻击者达到他的攻击目的,使数据库执行某个命令或者是得到他想要的数据。
Sql注入原理简介_动力节点Java学院整理
09-09
了解SQL注入原理防范措施是保障Web应用安全的关键。 1. SQL注入的定义: SQL注入是通过将恶意SQL命令嵌入到用户提交的表单数据或URL参数中,使得服务器在处理这些数据时误执行这些命令。例如,当用户在登录界面...
SQL注入入侵分析及防范.pdf
09-19
防范SQL注入攻击的方法主要有以下几点: 1. **参数化查询**:使用预编译的SQL语句,将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这可以阻止SQL代码执行。 2. **输入验证**:对所有用户输入进行严格的...
SQL注入危害、检测及防范.pdf
09-19
SQL注入危害、检测及防范.pdf
SQL注入攻击原理防范方法.pdf
09-19
1. SQL注入攻击原理: 当用户输入的数据被直接用于构造SQL查询时,攻击者可以通过输入特定的字符串来改变SQL语句的逻辑。例如,一个简单的登录界面,如果仅检查用户名和密码是否匹配,而未对输入进行任何过滤,攻击...
计算机病毒与防护:SQL注入原理.ppt
06-10
**SQL注入危害** 1. **获取敏感数据**:攻击者可以窃取数据库中的敏感信息,包括管理员账号、密码、用户个人信息等。 2. **文件系统操作**:通过SQL注入,攻击者可能能够列出目录、读取、写入或删除服务器上的...
SQL注入的实现原理防范
Derry的专栏
03-24 773
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。SQL注入的手法相当灵活,在注入的时候需要根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据.   SQL注入攻击的总体思路是:   1. 发现SQL注入位置;   2. 判断后台数据库类
SQL注入详解(第一章基础入门)
m0_52051132的博客
09-17 445
数据库就是一个存储数据的仓库,数据库是以一定方式存储在一起,能与多个用户共享,具有尽可能小的冗余,与应用程序彼此独立的数据集合。
简单讲解SQL的注入以及防御
WSDS_MZM的博客
08-28 602
简单讲解SQL的注入以及防御:SQL注入(SQL Injection): 百度百科:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串, 最终达到欺骗服务器执行恶意的SQL命令。 我的理解:SQL注入就是用户在输入请求信息时通过拼接(或者注释)SQL语句,达到获取(或者删除)后台信息的目的 SQL注入分为内联SQL注入和终止式SQL注入
【Web安全】漏洞之王-Sql注入原理危害解析
李响
03-19 801
文章目录1 注入原理2 如何获取管理员用户名&密码3 关于注入方式的探索3.1 前言3.2 演示3.3 用order by找到字段数3.4 联合查询 1 注入原理 这里不再赘述了,无非就是自己写sql语句植入到对方数据库。 我们以登录为例,用户登录时后台会执行SQL语句如下: select * from auth_user where user_name = '${paramter1}' ...
SQL注入及其危害、防御手段
热门推荐
lay_loge的博客
05-22 2万+
一、什么是SQL注入 SQL(Structured Query Language),即结构化查询语言,用于操作关系型数据库管理系统。目前,大多数Web编程语言提供了操作SQL的接口,以方便与数据库进行交互。但是在开发Web应用的过程中,由于忽视了代码的健壮性和安全性,攻击者可以构造巧妙的SQL语句从而获取到敏感数据,因此导致了SQL这种攻击方式的流行。 二、SQL注入原理 在B/S模式中,用户可...
SQL注入攻击及防御详解
baidu_38803985的博客
04-11 3672
在owasp年度top 10 安全问题中,注入高居榜首。SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序, 而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地 过滤用户输入的数据,致使非法数据侵入系统。 对于Web应用程序而言,用户核心数据存储在数据库中,例如MySQL、SQL Server、Oracle; 通过SQL注...
SQL注入原理与解决方法
jayxu无捷之径的博客
08-04 1万+
一、什么是sql注入? 1、什么是sql注入呢?         所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注
sql注入危害防范
04-27
SQL注入危害包括但不限于以下几点: 1. 数据泄露:攻击者可以通过注入恶意的SQL语句,获取到数据库中的敏感信息,如用户账号、密码、个人信息等。 2. 数据篡改:攻击者可以修改数据库中的数据,包括增加、删除、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值