SQL注入攻擊的常見方式及測試方法

本文主要針對SQL注入的含義、以及如何進行SQL注入和如何預防SQL注入讓小伙伴有個了解。適用的人群主要是測試人員，了解如何進行SQL注入，可以幫助我們測試登錄、發布等模塊的SQL攻擊漏洞，至於如何預防SQL注入，按理說應該是開發該了解的事情~但是作為一個棒棒的測試，搞清楚原理是不是能讓我們更加透徹地理解bug的產生原因呢~好啦，話不多說，進入正題~

 

如何理解SQL注入（攻擊）？

SQL注入是一種將SQL代碼添加到輸入參數中，傳遞到服務器解析並執行的一種攻擊手法。

SQL注入攻擊是輸入參數未經過濾，然后直接拼接到SQL語句當中解析，執行達到預想之外的一種行為，稱之為SQL注入攻擊。

 

SQL注入是怎么產生的？

1）WEB開發人員無法保證所有的輸入都已經過濾

2）攻擊者利用發送給SQL服務器的輸入參數構造可執行的SQL代碼（可加入到get請求、post請求、http頭信息、cookie中）

3）數據庫未做相應的安全配置

 

如何進行SQL注入攻擊？

以php編程語言、mysql數據庫為例，介紹一下SQL注入攻擊的構造技巧、構造方法:

1、數字注入

在瀏覽器地址欄輸入：learn.me/sql/article.php?id=1，這是一個get型接口，發送這個請求相當於調用一個查詢語句：

$sql = "SELECT * FROM article WHERE id =",$id
正常情況下，應該返回一個id=1的文章信息。那么，如果在瀏覽器地址欄輸入：learn.me/sql/article.php?id=-1 OR 1 =1，這就是一個SQL注入攻擊了，可能會返回所有文章的相關信息。為什么會這樣呢？

這是因為，id = -1永遠是false，1=1永遠是true，所有整個where語句永遠是ture，所以where條件相當於沒有加where條件，那么查詢的結果相當於整張表的內容

2、字符串注入

有這樣一個用戶登錄場景：登錄界面包括用戶名和密碼輸入框，以及提交按鈕。輸入用戶名和密碼，提交。

這是一個post請求，登錄時調用接口learn.me/sql/login.html，首先連接數據庫，然后后台對post請求參數中攜帶的用戶名、密碼進行參數校驗，即sql的查詢過程。假設正確的用戶名和密碼為user和pwd123，輸入正確的用戶名和密碼、提交，相當於調用了以下的SQL語句：

SELECT * FROM user WHERE username = 'user' ADN password = 'pwd123'
由於用戶名和密碼都是字符串，SQL注入方法即把參數攜帶的數據變成mysql中注釋的字符串。mysql中有2種注釋的方法：

（1）'#'：'#'后所有的字符串都會被當成注釋來處理

用戶名輸入：user'#（單引號閉合user左邊的單引號），密碼隨意輸入，如：111，然后點擊提交按鈕。等價於SQL語句：

SELECT * FROM user WHERE username = 'user'#'ADN password = '111'
'#'后面都被注釋掉了，相當於：

SELECT * FROM user WHERE username = 'user'
（2）'-- ' （--后面有個空格）：'-- '后面的字符串都會被當成注釋來處理

用戶名輸入：user'-- （注意--后面有個空格，單引號閉合user左邊的單引號），密碼隨意輸入，如：111，然后點擊提交按鈕。等價於SQL語句：

SELECT * FROM user WHERE username = 'user'-- 'AND password = '111'
SELECT * FROM user WHERE username = 'user'-- 'AND password = '1111'
'-- '后面都被注釋掉了，相當於：

SELECT * FROM user WHERE username = 'user'
因此，以上兩種情況可能輸入一個錯誤的密碼或者不輸入密碼就可登錄用戶名為'user'的賬號，這是十分危險的事情。

 

如何預防SQL注入？

這是開發人員應該思考的問題，作為測試人員，了解如何預防SQL注入，可以在發現注入攻擊bug時，對bug產生原因進行定位。

（1）嚴格檢查輸入變量的類型和格式

對於整數參數，加判斷條件：不能為空、參數類型必須為數字

對於字符串參數，可以使用正則表達式進行過濾：如：必須為[0-9a-zA-Z]范圍內的字符串

（2）過濾和轉義特殊字符

在username這個變量前進行轉義，對'、"、\等特殊字符進行轉義，如：php中的addslashes()函數對username參數進行轉義

（3）利用mysql的預編譯機制

把sql語句的模板（變量采用占位符進行占位）發送給mysql服務器，mysql服務器對sql語句的模板進行編譯，編譯之后根據語句的優化分析對相應的索引進行優化，在最終綁定參數時把相應的參數傳送給mysql服務器，直接進行執行，節省了sql查詢時間，以及mysql服務器的資源，達到一次編譯、多次執行的目的，除此之外，還可以防止SQL注入。具體是怎樣防止SQL注入的呢？實際上當將綁定的參數傳到mysql服務器，mysql服務器對參數進行編譯，即填充到相應的占位符的過程中，做了轉義操作。