SQL注入union联合注入的详解

SQL 注入中  UNION  联合注入的原理主要基于以下几个方面：
 
      当应用程序在构建 SQL 查询时，将用户输入未经充分验证和清理就直接拼接到查询语句中，如果原始查询语句预期返回一个结果集，而攻击者通过构造恶意的输入，利用  UNION  操作符添加额外的查询部分，就能够将其他原本不应出现在当前查询中的数据合并到结果集中，从而达到获取敏感数据或执行未授权操作的目的。
 
例如，原始的 SQL 查询可能是：
 
SELECT column1, column2 FROM table1 WHERE condition = '$user_input';
 
 如果应用程序没有对用户输入  $user_input  进行严格过滤和验证，攻击者可以输入类似以下的恶意内容：
 
' UNION SELECT sensitive_column1, sensitive_column2 FROM sensitive_table --
 
这样，数据库会将攻击者构造的新查询与原始查询通过  UNION  连接起来执行，从而将原本受保护的敏感数据从  sensitive_table  表中提取出来并显示在结果集中。
 
要成功实施  UNION  联合注入攻击，攻击者通常需要先确定一些前置条件，如：
 
1. 确定输入点：找到可以输入数据并且该数据会被直接拼接到 SQL 查询中的地方。
2. 确定字段数量：通过尝试不同数量的列，观察服务器的响应，以确定原始查询中选择的字段数量，以便在注入的  UNION  查询中提供相同数量的列。
3. 确定数据类型：了解每个列所期望的数据类型，以便构造合法的注入查询。

以下是一个具有 SQL 注入漏洞的简单 Java 后端代码示例，仅为了展示漏洞原理，实际开发中绝不能这样编写：

 import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;

public class VulnerableSQLInjectionExample {

    public static void main(String[] args) {
        String userInput = "user_input_here"; // 模拟用户输入，此处存在漏洞

        try {
            Class.forName("com.mysql.jdbc.Driver");
            Connection connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/database_name", "username", "password");

            Statement statement = connection.createStatement();
            String query = "SELECT * FROM users WHERE username = '" + userInput + "'";
            ResultSet resultSet = statement.executeQuery(query);

            while (resultSet.next()) {
                System.out.println(resultSet.getString("username") + " " + resultSet.getString("password"));
            }

            resultSet.close();
            statement.close();
            connection.close();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}
 
 
在上述代码中，直接将用户输入的内容拼接到了 SQL 查询语句中，没有进行任何输入验证、清理或参数化处理，这就使得攻击者可以输入恶意的 SQL 代码来实施注入攻击。
 
为了避免这种漏洞，应当使用参数化查询，例如：
 

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;

public class SafeSQLQueryExample {

    public static void main(String[] args) {
        String userInput = "user_input_here"; // 模拟用户输入

        try {
            Class.forName("com.mysql.jdbc.Driver");
            Connection connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/database_name", "username", "password");

            String query = "SELECT * FROM users WHERE username =?";
            PreparedStatement preparedStatement = connection.prepareStatement(query);
            preparedStatement.setString(1, userInput);

            ResultSet resultSet = preparedStatement.executeQuery();

            while (resultSet.next()) {
                System.out.println(resultSet.getString("username") + " " + resultSet.getString("password"));
            }

            resultSet.close();
            preparedStatement.close();
            connection.close();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}