SQL注入测评教程：从原理到实战的完整指南

一、SQL注入基础：原理与危害

SQL注入（SQL Injection）是一种通过构造恶意SQL语句，绕过应用程序验证机制，直接操作数据库的攻击手段。其核心原理在于：应用程序未对用户输入进行充分过滤或参数化处理，导致攻击者能篡改原始SQL逻辑。

1.1 攻击原理示例

假设某登录接口的SQL语句为：

SELECT * FROM users WHERE username = '$user_input' AND password = '$pass_input';

若用户输入admin' --作为用户名，密码任意，最终执行的SQL变为：

SELECT * FROM users WHERE username = 'admin' --' AND password = '...';

--是SQL注释符，导致密码验证被忽略，攻击者直接以admin身份登录。

1.2 典型危害

• 数据泄露：窃取用户信息、密码、信用卡数据等。
• 数据篡改：修改数据库内容（如价格、权限）。
• 拒绝服务：删除表或执行高负载查询导致系统崩溃。
• 提权攻击：通过数据库漏洞获取系统权限。

二、SQL注入分类与测评方法

根据攻击方式与目标，SQL注入可分为以下类型，每种需采用不同的测评策略。

2.1 基于错误的注入（Error-Based）

原理：通过构造错误SQL语句，从数据库报错信息中获取数据。
测评步骤：

1. 输入单引号'，观察是否返回数据库错误（如MySQL的You have an error in your SQL syntax）。
2. 使用AND 1=1（正常）与AND 1=2（异常）对比响应差异。
3. 结合UNION SELECT提取数据，例如：

   ' UNION SELECT null, username, password FROM users--

   工具推荐：SQLMap自动检测错误注入漏洞。

2.2 基于布尔的盲注（Boolean-Based Blind）

原理：通过页面返回的True/False差异推断数据。
测评步骤：

1. 构造条件语句，如：

   ' AND (SELECT COUNT(*) FROM users WHERE username='admin') > 0--

2. 观察页面是否因条件为真/假而显示不同内容。
3. 逐字符猜测数据（如SUBSTRING(password,1,1)='a'）。

2.3 基于时间的盲注（Time-Based Blind）

原理：通过延迟响应判断条件是否成立。
测评步骤：

1. 使用SLEEP()函数构造延迟语句：

   ' OR IF(1=1,SLEEP(5),0)--

2. 若页面响应延迟5秒，说明条件为真。
3. 结合二分法高效提取数据。

2.4 堆叠查询注入（Stacked Queries）

原理：通过分号;执行多条SQL语句。
测评步骤：

1. 输入admin'; DROP TABLE users--尝试删除表。
2. 需数据库支持堆叠查询（如MySQL开启多语句执行）。

三、实战测评流程

3.1 信息收集

1. 识别输入点：表单、URL参数、HTTP头（如User-Agent、Cookie）。
2. 确定数据库类型：通过错误信息、特征响应（如MySQL的@变量、Oracle的ROWNUM）。
3. 指纹识别：使用VERSION()、BANNER等函数获取数据库版本。

3.2 漏洞利用

1. 手动测试：
   • 输入'、"、;等特殊字符观察报错。
   • 使用AND 1=1与AND 1=2验证是否存在注入。
2. 自动化工具：
   • SQLMap：支持多种注入类型，自动检测与利用。
   • Burp Suite：拦截请求，修改参数进行注入测试。

3.3 数据提取示例

以提取users表中的数据为例：

1. 确定列数：

   ' ORDER BY 3--  # 若报错，说明列数为2

2. 使用UNION SELECT提取数据：

   ' UNION SELECT null, username FROM users--

3. 逐字段提取密码、邮箱等敏感信息。

四、防御策略与最佳实践

4.1 输入验证与过滤

• 白名单验证：仅允许特定字符（如字母、数字）。
• 转义特殊字符：使用数据库提供的转义函数（如MySQL的mysqli_real_escape_string()）。

4.2 参数化查询（Prepared Statements）

• 原理：将SQL语句与数据分离，避免拼接。
• 示例（PHP PDO）：

  $stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
  $stmt->execute([$username, $password]);

4.3 最小权限原则

• 数据库用户仅授予必要权限（如仅允许SELECT，禁止DROP）。

4.4 错误处理

• 禁用详细错误信息，记录到日志而非返回给用户。

4.5 Web应用防火墙（WAF）

• 使用ModSecurity、Cloudflare等工具拦截恶意请求。

五、法律与伦理规范

1. 授权测试：仅在获得明确授权后进行测评。
2. 数据保护：禁止泄露、篡改或删除非授权数据。
3. 合规要求：遵守《网络安全法》《数据安全法》等相关法规。

六、总结与进阶建议

1. 持续学习：关注OWASP Top 10、CVE漏洞库更新。
2. 实战演练：通过DVWA（Damn Vulnerable Web Application）等平台练习。
3. 工具深化：掌握SQLMap高级用法（如自定义Payload、Tamper脚本）。
4. 代码审计：结合静态分析工具（如SonarQube）检查源码漏洞。

SQL注入测评不仅是技术挑战，更是安全意识的体现。 通过系统学习与实战，开发者能有效降低应用风险，构建更安全的数字化环境。