SQL注入是一种攻击者通过网页将SQL命令注入到SQL语句中的技术。攻击者可以绕过认证，访问、修改和删除数据库中的数据。在某些情况下，SQL注入甚至可被用于执行操作系统级的命令，攻击者可能对防火墙后的网络带来破坏性更大的攻击。

常用数据库

SQL注入类型

SQL注入开发技术

常见注入点——应用程序和数据交互的地方

常用SQL语句

常用SQL注入字符

数据库指纹

我们可以通过分析错误信息找出数据库类型。

首先从这里下载SQL注入测试平台，并且利用xampp搭建开放SQL注入实验平台。（译者注：可参考这篇博客）

点击 Setup/reset Database for labs

想象一个需要输入用户名和密码的登录页面，当你输入用户名和密码后，后端就会产生并执行一条查询（SQL查询），登录后该查询结果会被显示在我们的主页。

例如：

Username - Raj

Password - Chandel

那么后端查询看起来是这样的

SELECT * FROM table_name WHERE username='Raj' AND password='Chandel';

这完全取决于开发者是如何将参数值封装在SQL查询中的，可以是单引号、双引号和引号与括号结合使用等。所以查询可能看起来会是这样的

SELECT * FROM table_name WHERE username='Raj' AND password='Chandel';

SELECT * FROM table_name WHERE username=('Raj') AND password=('Chandel');

SELECT * FROM table_name WHERE username="Raj" AND password="Chandel";

SELECT * FROM table_name WHERE username=("Raj") AND password=("Chandel");

或者是开发者选择的任何形式。这里以第一种查询为例进一步解释。

问：如果输入的用户名为 Raj' 会发生什么？

答：如果输入的用户名为 Raj' ，后台查询看起来会是这样的

SELECT * FROM table_name WHERE username='Raj'' AND password='Chandel';

由于多了一个引号，所以此处有语法错误。

问：怎样修复这条查询？可以修复吗？

答：上面的查询可以修复，即使输入的用户名仍为 Raj' 也可以修复。可以通过将 Raj' 后面的查询全部注释掉来修复。所以有效的查询会是这样的

SELECT * FROM table_name WHERE username='Raj'

这条查询语法正确

问：如何将剩余的查询注释掉？

答：这取决于后端的数据库类型。一般情况下使用 --+ 或者 # 。如果输入用户名 Raj'--+ ，完整的后端查询看起来是这样的

SELECT * FROM  table_name WHERE username='Raj'--+' AND password='Chandel';

但是数据库只会读取并执行这条查询

SELECT * FROM  table_name WHERE username='Raj'

--+ 后面的所有东西都被注释掉了，不会翻译为这条查询的一部分。这就是SQL注入。使用恶意的输入改变后端查询。

我不知道你是否对此怀有疑问，反正我当时学习的时候，有这样一个疑问：根据上面的带有注释的查询，我们不需要一个有效的密码就可以登录了吗？

是的，如果开发者没有采取防范SQL注入的措施，并且以上面方式实现查询，那么只有用户名就可能成功登录。

感到很疑惑？别急。接下来的文章我会向你展示具体过程。现在准备好实验平台，开始吧。

点击 lesson 1 并在URL中添加 id 作为参数

一直增大 id 的值（id=1, id=2...）。当 id 的值大于14，你会发现得到的是一个没有用户名和密码的空白页面，这意味着数据库只有14条记录。

后端查询一定是像这样的

SELECT * from table_name WHERE id='1';

或者

SELECT * from table_name WHERE id=('1');

或者

SELECT * from table_name WHERE id="1";

但是我们并不知道开发者具体是怎样封装 id 参数值的。所以得先找封装形式。

输入 id 的值为 1' 来破坏查询。

哈哈，现在我们得到了SQL语法错误提示。因为这个错误提示将会帮助我们找出后端查询，并且我们也会使用这个错误提示来进行SQL注入，所以这种类型的SQL注入又被称为基于错误返回的SQL注入。

现在我们必须看着屏幕截图来分析这个错误。

你也可以通过转义字符来找出 参数封装形式，在MYSQL中 '\'(反斜杠)被用来转义一个字符。转义一个字符意味着取消该字符的特殊用途。使用转义字符可以得到更清楚的图片。

从上面的屏幕截图中可以清晰地看出后端查询

Less-1    -    SELECT * from table_name WHERE id='our input'

Less-2    -    SELECT * from table_name WHERE id=our input

Less-3    -    SELECT * from table_name WHERE id=('out input')

Less-4    -    SELECT * from table_name WHERE id=("our input")

这里以 Less-1 为例进一步解释。输入 1' 对应的完整的后端查询会是

SELECT * from table_name WHERE id='1'' LIMIT 0,1

这条查询有语法错误，之前我已经解释过如何使它语法正确，

输入 1'--+

或者输入 1'--%20（%20 URL编码为空格）

或者输入 1'%23 （%23 URL编码为 # ）

http://localhost/sqlilabs/Less-1/?id=1'--%20

http://localhost/sqlilabs/Less-1/?id=1'%23

http://localhost/sqlilabs/Less-1/?id=1'--+

现在我们既可以破坏查询，又可以修复它的语法错误了。那么下一步干什么呢？接下来我们要努力在引号和 --+ 之间添加查询来获取数据库中的信息。

问：两条SELECT查询可以同时工作吗？

答：不行，我们必须得使用UNION操作符来实现。UNION操作符用于合并两个或多个SELECT语句的结果集。但是有一个前提条件，那就是UNION操作符两边的列数必须相同。由于我们并不知道后端的SELECT查询有多少列，所以首要任务就是找出SELECT查询中使用的列数。为此我们要使用ORDER BY子句。

ORDER BY子句会根据查询中使用的指定列将结果集按照升序或降序排列。例如：

ORDER BY country à 将会根据指定列（country）将结果集的元素按照升序排列。

问题又来了，我们根本不知道指令列的名字啊...

解决办法就隐藏在ORDER BY子句中...

我们会用到ORDER BY 1, ORDER BY 2...。因为ORDER BY 1 会根据在查询中出现的第一个指定列将结果集按照升序（默认）排列。（请注意，ORDER BY 1 不是根据表的第一列来排列结果集，而是按照查询中出现的的第一个指定列将结果集按照升序排列）

现在来试一下吧。

http://localhost/sqlilabs/Less-1/?id=1' order by 1 --+ 正确

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课