什么是SQL注入？

SQL注入（SQLi）是一種注入攻擊，可以執(zhí)行惡意SQL語(yǔ)句。它通過(guò)將任意SQL代碼插入數(shù)據(jù)庫(kù)查詢，使攻擊者能夠完全控制Web應(yīng)用程序后面的數(shù)據(jù)庫(kù)服務(wù)器。攻擊者可以使用SQL注入漏洞繞過(guò)應(yīng)用程序安全措施；可以繞過(guò)網(wǎng)頁(yè)或Web應(yīng)用程序的身份驗(yàn)證和授權(quán)，并檢索整個(gè)SQL數(shù)據(jù)庫(kù)的內(nèi)容；還可以使用SQL注入來(lái)添加，修改和刪除數(shù)據(jù)庫(kù)中的記錄。

SQL注入漏洞可能會(huì)影響使用SQL數(shù)據(jù)庫(kù)（如MySQL，Oracle，SQL Server或其他）的任何網(wǎng)站或Web應(yīng)用程序。犯罪分子可能會(huì)利用它來(lái)未經(jīng)授權(quán)訪問(wèn)用戶的敏感數(shù)據(jù)：客戶信息，個(gè)人數(shù)據(jù)，商業(yè)機(jī)密，知識(shí)產(chǎn)權(quán)等。SQL注入攻擊是最古老，最流行，最危險(xiǎn)的Web應(yīng)用程序漏洞之一。

SQL注入攻擊的類(lèi)型

SQL注入攻擊可以通過(guò)多種方式執(zhí)行。在選擇特定攻擊方法之前，攻擊者可能會(huì)觀察系統(tǒng)的行為。

帶內(nèi)注入

這是典型的攻擊，攻擊者可以通過(guò)相同的通信通道發(fā)起攻擊并獲得結(jié)果。這是通過(guò)兩種帶內(nèi)技術(shù)完成的：

●　基于錯(cuò)誤的SQL注入：從顯示的錯(cuò)誤消息中獲取有關(guān)數(shù)據(jù)庫(kù)的信息

●　基于聯(lián)合的SQL注入：依賴于攻擊者能夠?qū)NION ALL被盜信息的結(jié)果與合法結(jié)果連接起來(lái)。

這兩種技術(shù)都依賴于攻擊者修改應(yīng)用程序發(fā)送的SQL，以及瀏覽器中顯示的錯(cuò)誤和返回的信息。如果應(yīng)用程序開(kāi)發(fā)人員或數(shù)據(jù)庫(kù)開(kāi)發(fā)人員無(wú)法正確地參數(shù)化他們?cè)诓樵冎惺褂玫闹?#xff0c;那么它會(huì)成功。兩者都是試錯(cuò)法，可以檢測(cè)到錯(cuò)誤。

盲注入

也稱為推理SQL注入，盲注入攻擊不會(huì)直接從目標(biāo)數(shù)據(jù)庫(kù)中顯示數(shù)據(jù)；相反，攻擊者會(huì)仔細(xì)檢查行為中的間接線索。HTTP響應(yīng)中的詳細(xì)信息，某些用戶輸入的空白網(wǎng)頁(yè)以及數(shù)據(jù)庫(kù)響應(yīng)某些用戶輸入需要多長(zhǎng)時(shí)間，這些都可以是線索，具體取決于攻擊者的目標(biāo)。他們還可以指向攻擊者嘗試的另一個(gè)SQLi攻擊途徑。

帶外注入

這種攻擊有點(diǎn)復(fù)雜，當(dāng)攻擊者無(wú)法在單個(gè)直接查詢 - 響應(yīng)攻擊中實(shí)現(xiàn)其目標(biāo)時(shí)，攻擊者可能會(huì)使用此攻擊。通常，攻擊者會(huì)制作SQL語(yǔ)句，這些語(yǔ)句在呈現(xiàn)給數(shù)據(jù)庫(kù)時(shí)會(huì)觸發(fā)數(shù)據(jù)庫(kù)系統(tǒng)創(chuàng)建與攻擊者控制的外部服務(wù)器的連接。以這種方式，攻擊者可以收集數(shù)據(jù)或可能控制數(shù)據(jù)庫(kù)的行為。

二階注入就是一種帶外注入攻擊。在這種情況下，攻擊者將提供SQL注入，該注入將由數(shù)據(jù)庫(kù)系統(tǒng)的單獨(dú)行為存儲(chǔ)和執(zhí)行。當(dāng)二級(jí)系統(tǒng)行為發(fā)生時(shí)（它可能類(lèi)似于基于時(shí)間的作業(yè)或由其他典型管理員或用戶使用數(shù)據(jù)庫(kù)觸發(fā)的某些事情）并且執(zhí)行攻擊者的SQL注入，那就是當(dāng)“伸出”到系統(tǒng)時(shí)攻擊者控制發(fā)生了。

如何防止SQL注入攻擊？

以下可以幫助防止SQL注入攻擊成功

不要使用動(dòng)態(tài)SQL

避免將用戶提供的輸入直接放入SQL語(yǔ)句中；最好使用準(zhǔn)備好的語(yǔ)句和參數(shù)化查詢，這樣更安全。

不要將敏感數(shù)據(jù)保留在純文本中

加密存儲(chǔ)在數(shù)據(jù)庫(kù)中的私有/機(jī)密數(shù)據(jù)；這樣可以提供了另一級(jí)保護(hù)，以防攻擊者成功地排出敏感數(shù)據(jù)。

限制數(shù)據(jù)庫(kù)權(quán)限和特權(quán)

將數(shù)據(jù)庫(kù)用戶的功能設(shè)置為最低要求；這將限制攻擊者在設(shè)法獲取訪問(wèn)權(quán)限時(shí)可以執(zhí)行的操作。

避免直接向用戶顯示數(shù)據(jù)庫(kù)錯(cuò)誤

攻擊者可以使用這些錯(cuò)誤消息來(lái)獲取有關(guān)數(shù)據(jù)庫(kù)的信息。

對(duì)訪問(wèn)數(shù)據(jù)庫(kù)的Web應(yīng)用程序使用使用WAF產(chǎn)品

這為面向Web的應(yīng)用程序提供了保護(hù)，它可以幫助識(shí)別SQL注入嘗試；根據(jù)設(shè)置，它還可以幫助防止SQL注入嘗試到達(dá)應(yīng)用程序（以及數(shù)據(jù)庫(kù)），建議使用云waf產(chǎn)品，對(duì)于防御SQL注入效果很好，并且配置簡(jiǎn)單，也有免費(fèi)的產(chǎn)品。

定期測(cè)試與數(shù)據(jù)庫(kù)交互的Web應(yīng)用程序

• 這樣做可以幫助捕獲可能允許SQL注入的新錯(cuò)誤或回歸。

• 將數(shù)據(jù)庫(kù)更新為最新的可用修補(bǔ)程序

• 這可以防止攻擊者利用舊版本中存在的已知弱點(diǎn)/錯(cuò)誤。

總結(jié)：SQL注入是一種流行的攻擊攻擊方法，但是通過(guò)采取適當(dāng)?shù)念A(yù)防措施，例如確保數(shù)據(jù)加密，保護(hù)和測(cè)試Web應(yīng)用程序，以及您是最新的補(bǔ)丁程序，您可以采取有意義的步驟來(lái)保持您的數(shù)據(jù)安全。