摘要:用户输入 ' OR 1=1 -- 后,登录界面直接放行任意账号;数据库突然出现 DROP TABLE users 的诡异日志;业务系统被曝泄露百万用户隐私数据,源头竟是某个搜索框。
场景还原:
用户输入 ' OR 1=1 -- 后,登录界面直接放行任意账号;数据库突然出现 DROP TABLE users 的诡异日志;业务系统被曝泄露百万用户隐私数据,源头竟是某个搜索框。这些看似魔幻的场景,正是SQL注入攻击的典型表现——攻击者通过构造恶意输入,让数据库执行非预期的SQL指令。据统计,SQL注入长期占据OWASP Top 10漏洞榜首,是Web应用的“头号杀手”。
核心逻辑:字符串拼接 + 用户输入未过滤 = 代码与数据的混淆
假设一段登录验证代码:
python
query = "SELECT * FROM users WHERE username = '" + user_input + "' AND password = '" + pwd_input + "'"当用户输入 admin'-- 时,SQL变为:
SELECT * FROM users WHERE username = 'admin'--' AND password = ''-- 是SQL注释符,直接绕过了密码验证!更危险的攻击可能包含 UNION SELECT 窃取数据,或 EXEC xp_cmdshell 控制服务器。
SELECT * FROM users WHERE username = '${username}'运行 HTML
拆坑:坚持使用 #{} 预编译占位符,禁用 ${} 拼接用户输入。
前端用正则过滤 SELECT、UNION 等关键词?攻击者可直接通过Postman、Python脚本发送恶意请求,绕开前端防御。
将数据库错误信息直接返回前端(如MySQL的You have an error in your SQL syntax),等于告诉黑客注入点在哪里。
java
// Java示例:使用PreparedStatementString sql = "SELECT * FROM users WHERE username = ? AND password = ?";PreparedStatement stmt = connection.prepareStatement(sql);stmt.setString(1, username);stmt.setString(2, password);原理:数据库提前编译SQL结构,用户输入仅作为数据处理,无法改变指令逻辑。
python
# Django ORM安全写法User.objects.filter(username=request.POST['username'], password=request.POST['password'])即使使用ORM,也要警惕手写原生SQL、raw 方法中的拼接操作。
代码审查:团队互相检查SQL拼接点,用SonarQube等工具扫描String.format拼接的SQL;禁用危险函数:如PHP的mysql_query、Python的cursor.execute(sql % params);测试驱动安全:使用sqlmap工具自动化测试接口,或在单元测试中模拟攻击:python
# 单元测试示例:模拟SQL注入攻击def test_sql_injection(self): response = self.client.get('/search?keyword=' OR 1=1--') self.assertNotIn('error in your SQL syntax', response.content.decode)SQL注入的本质是开发者对用户输入的过度信任。在每一次拼接字符串时,在每一次调用ORM的raw方法时,不妨多问一句:“如果这个参数是黑客精心构造的武器,会发生什么?” 安全不是一种技术,而是一种习惯。
来源:大龄程序猿小武
