运维日记丨SQL注入原理与加固方法

当Web应用程序未对用户输入的数据进行足够的安全处理（如危险字符过滤或者语句过滤），而直接拼接SQL语句执行时，攻击者可以精心构造参数值，使服务器执行非预期的SQL语句并返回结果，造成数据库信息泄露。利用SQL注入漏洞，攻击者可获取数据库的增、删、改、查权限，甚至执行系统命令，上传后门文件等。

SELECT * FROM youdian_admin WHERE AdminName ='$name' and AdminPassword = '$pass' limit 0,1

举例示意张三登录时，数据库执行语句（数据库满足则登录成功，这里没添加所以失败）

SELECT * FROM youdian_admin WHERE AdminName = ‘zhangsan’ and AdminPassword = ‘zhangsang123’ limit 0,1

当恶意攻击者尝试登录时，会尝试构造数据库的执行语句

SELECT * FROM youdian_admin WHERE AdminName = ‘hacker’ or 1=1 # and AdminPassword = ‘hacker’  limit 0,1

当然也不是所有的数据库都有information这个库，很多情况下无法直接获取到数据库名、表名、字段名，但是可以进行暴力枚举。比如对库名、表名、列名进行分割为单独的字符串进行字符枚举。

• 针对SQL注入漏洞，需要对网站所有参数中提交的数据进行过滤，禁止输入"'"、"xor"、"or"、"--"、"#"、"select"、"and"等特殊字符；
  
• 所有的查询语句都使用数据库提供的参数化查询接口，SQL语句使用参数化处理后的数据作为输入,而不是将用户输入变量嵌入到SQL语句中；
• 严格限制网站用户对数据库的操作权限，给此用户提供仅仅能够满足其工作的权限，从而最大限度的减少注入攻击对数据库的危害；
• 避免网站显示SQL错误信息，比如类型错误、字段不匹配等，防止攻击者收集这些错误信息进行判断进而执行SQL注入攻击。