SQL注入(英语:SQL injection),也称SQL注入或SQL注码,是发生于应用程序与数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了字符检查,那么这些注入进去的恶意指令就会被数据库服务器误认为是正常的SQL指令而执行,因此遭到破坏或是入侵。
SQL注入攻击指的是攻击者在 HTTP 请求中注入恶意 SQL 命令,服务器用请求参数构造数据库 SQL 命令时,恶意 SQL 被一起构造,并在数据库中执行,以便得到数据库中的感兴趣的数据或对数据库进行读取、修改、删除、插入等敏感的操作,从而导致数据被随意篡改。它是注入攻击最常见的形式,换句话表述即:Web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在Web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询或其他操作,导致数据库信息泄露或非授权操作数据表。
但是SQL注入攻击,需要攻击者对数据库表有所了解才行,比如你的项目开源了,不小心公开了数据库的账号和密码;另外你的网站上线没有 关闭调试模式,有心者可以网站的根据错误回显可以猜测表结构;另外还有就是盲注,也即是很多有心者会盲猜数据表结构,但是这种难度最大。
SQL注入可以通过预编译手段进行预防,绑定参数是最好的防 SQL 注入方法。现在流行的框架基本都实现了SQL预编译和参数绑定,恶意攻击的 SQL 会被当做 SQL 的参数,而不是 SQL 命令被执行。
有部分人认为SQL注入是只针对Microsoft SQL Server, 这是错误的,但只要是支持处理SQL指令的数据库服务器,都有可能受到此种手法的攻击。
产生原因
在应用程序中若有下列状况,则可能应用程序正暴露在SQL Injection的高风险情况下:
1.在应用程序中使用字符串联结方式或联合查询方式组合SQL指令。
2.在应用程序链接数据库时使用权限过大的账户(例如很多开发人员都喜欢用最高权限的系统管理员账户(如常见的root,sa等)连接数据库)。
3.在数据库中开放了不必要但权力过大的功能(例如在Microsoft SQL Server数据库中的xp_cmdshell延伸存储程序或是OLE Automation存储程序等)。
4.太过于信任用户所输入的资料,未限制输入的特殊字符,以及未对用户输入的资料做潜在指令的检查。
作用原理
1.SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字符为不同命令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等的条件式)。
2.SQL命令对于传入的字符串参数是用单引号字符所包起来。(但连续2个单引号字符,在SQL数据库中,则视为字符串中的一个单引号字符)。
3.SQL命令中,可以注入注解(连续2个减号字符 — 后的文字为注解,或“/*”与“*/”所包起来的文字为注解)。
4.因此,如果在组合SQL的命令字符串时,未针对单引号字符作转义处理的话,将导致该字符变量在填入命令字符串时,被恶意窜改原本的SQL语法的作用。
实例分析
实例一
某个网站的登录验证的SQL查询代码为:
strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"
恶意填入
userName = "1' OR '1'='1";
与
passWord = "1' OR '1'='1";
时,将导致原本的SQL字符串被填为:
strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"
也就是实际上运行的SQL命令会变成下面这样的:
strSQL = "SELECT * FROM users;"
因此达到无账号密码,亦可登录网站。所以SQL注入被俗称为黑客的填空游戏。
实例二
# 正常获取用户信息的sql select * from users where id=1 # sql注入了 1 or 1=1,就可以把用户表中的所有数据全部查出,导致数据泄露 select * from users where id=1 or 1=1
可能导致的后果
1.资料表中的资料外泄,例如企业及个人机密资料,账户资料,密码等。
2.数据结构被黑客探知,得以做进一步攻击(例如SELECT * FROM sys.tables)。
3.数据库服务器被攻击,系统管理员账户被窜改(例如ALTER LOGIN sa WITH PASSWORD=’xxxxxx’)。
4.获取系统较高权限后,有可能得以在网页加入恶意链接、恶意代码以及Phishing等。
5.经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统(例如xp_cmdshell “net stop iisadmin”可停止服务器的IIS服务)。
6.攻击者利用数据库提供的各种功能操纵文件系统,写入Webshell,最终导致攻击者攻陷系统
7.破坏硬盘资料,瘫痪全系统(例如xp_cmdshell “FORMAT C:”)。
8.获取系统最高权限后,可针对企业内部的任一管理系统做大规模破坏,甚至让其企业倒闭。
9.网站主页被窜改,导致声誉受到损害。
避免的方法
1.在设计应用程序时,完全使用参数化查询(Parameterized Query)来设计资料访问功能。
2.在组合SQL字符串时,先针对所传入的参数加入其他字符(将单引号字符前加上转义字符)。
3.如果使用PHP开发网页程序的话,需加入转义字符之功能(自动将所有的网页传入参数,将单引号字符前加上转义字符)。
4.使用php开发,可写入html特殊函数,可正确阻挡XSS攻击。
5.其他,使用其他更安全的方式连接SQL数据库。例如已修正过SQL注入问题的数据库连接组件,例如ASP.NET的SqlDataSource对象或是 LINQ to SQL。
6.增强网页应用程序防火墙的防御力。
SQL注入历史
有关SQL注入的首次公开讨论始于1998年左右。