SQL注入的测试方法

Posted borishou

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SQL注入的测试方法相关的知识,希望对你有一定的参考价值。

简介

Web应用程序的数据存储与读取通过数据库完成,而这些读写的操作通过SQL语句实现。实际项目中可能因为开发人员的疏忽或经验问题,未对用户可输入的参数进行严格地校验,导致用户可能恶意地将SQL命令带入数据库执行,实现注入的目的。

SQL注入的条件

  • 参数中含有SQL语句,并可以带入数据库正常执行
  • Web应用程序和数据库的交互中,必须有参数加入请求传递至数据库

SQL注入的方法

1. 搜索型参数

判断是否存在SQL注入漏洞,需满足以下四步:

http://127.0.0.1/sql.php?Parameter=James    #正常查询数据
http://127.0.0.1/sql.php?Parameter=James‘   #页面异常或查询数据为空
http://127.0.0.1/sql.php?Parameter=James%‘and‘%‘=‘  #正常查询数据
http://127.0.0.1/sql.php?Parameter=James%‘and‘a%‘=‘b    #查询数据为空或提示列表为空

2.数字型参数

判断是否存在SQL注入漏洞,需满足一下四步:

http://127.0.0.1/sql.php?Parameter=10001    #正常查询数据
http://127.0.0.1/sql.php?Parameter=10001‘   #页面异常或查询数据为空
http://127.0.0.1/sql.php?Parameter=10001 and 1=1    #正常查询数据
http://127.0.0.1/sql.php?Parameter=10001 and 1=2    #查询数据为空或提示列表为空

3.字符型参数

判断是否存在SQL注入漏洞,需满足一下四步:

http://127.0.0.1/sql.php?Parameter=James    #正常查询数据
http://127.0.0.1/sql.php?Parameter=James‘   #页面异常或查询数据为空
http://127.0.0.1/sql.php?Parameter=James‘ and ‘1‘=‘1    #正常查询数据
http://127.0.0.1/sql.php?Parameter=James‘ and ‘1‘=‘2    #查询数据为空或提示列表为空

后续

此外,一些注入的方法是通过Java+JDBC代码注入(Statement接口改为PreparedStatement接口预防)、MyBatis框架注入(Mapper XML文件‘$‘‘拼接改为‘#‘‘拼接预防)等实现,因此对于一些对外的Web程序,SQL注入的检查是必须的,否则通过SQL注入的漏洞,外部用户可能获取/修改数据或直接获得管理员权限,这对生产环境来说都是致命的。

以上是关于SQL注入的测试方法的主要内容,如果未能解决你的问题,请参考以下文章

SQL注入攻击的常见方式及测试方法

测试 SQL 注入的正确方法

SQL注入的测试方法

JAVA SQL注入测试

NOSQL MongoDB 注入——本质上还是和sql注入是类似的

4个单词,谷歌返回16个SQL注入漏洞