简介
Web应用程序的数据存储与读取通过数据库完成,而这些读写的操作通过SQL语句实现。实际项目中可能因为开发人员的疏忽或经验问题,未对用户可输入的参数进行严格地校验,导致用户可能恶意地将SQL命令带入数据库执行,实现注入的目的。
SQL注入的条件
- 参数中含有SQL语句,并可以带入数据库正常执行
- Web应用程序和数据库的交互中,必须有参数加入请求传递至数据库
SQL注入的方法
1. 搜索型参数
判断是否存在SQL注入漏洞,需满足以下四步:
http://127.0.0.1/sql.php?Parameter=James #正常查询数据
http://127.0.0.1/sql.php?Parameter=James‘ #页面异常或查询数据为空
http://127.0.0.1/sql.php?Parameter=James%‘and‘%‘=‘ #正常查询数据
http://127.0.0.1/sql.php?Parameter=James%‘and‘a%‘=‘b #查询数据为空或提示列表为空2.数字型参数
判断是否存在SQL注入漏洞,需满足一下四步:
http://127.0.0.1/sql.php?Parameter=10001 #正常查询数据
http://127.0.0.1/sql.php?Parameter=10001‘ #页面异常或查询数据为空
http://127.0.0.1/sql.php?Parameter=10001 and 1=1 #正常查询数据
http://127.0.0.1/sql.php?Parameter=10001 and 1=2 #查询数据为空或提示列表为空3.字符型参数
判断是否存在SQL注入漏洞,需满足一下四步:
http://127.0.0.1/sql.php?Parameter=James #正常查询数据
http://127.0.0.1/sql.php?Parameter=James‘ #页面异常或查询数据为空
http://127.0.0.1/sql.php?Parameter=James‘ and ‘1‘=‘1 #正常查询数据
http://127.0.0.1/sql.php?Parameter=James‘ and ‘1‘=‘2 #查询数据为空或提示列表为空后续
此外,一些注入的方法是通过Java+JDBC代码注入(Statement接口改为PreparedStatement接口预防)、MyBatis框架注入(Mapper XML文件‘$‘‘拼接改为‘#‘‘拼接预防)等实现,因此对于一些对外的Web程序,SQL注入的检查是必须的,否则通过SQL注入的漏洞,外部用户可能获取/修改数据或直接获得管理员权限,这对生产环境来说都是致命的。