💻 1. 什么是SQL注入

SQL注入是一种针对Web程序中数据库层的安全漏洞的攻击方式。它利用了程序对用户输入数据合法性的判断或过滤不严，允许攻击者在设计不良的程序中添加额外的SQL语句，从而执行计划外的命令或访问未授权的数据。攻击者可以通过恶意拼接SQL语句，欺骗数据库服务器执行非授权的任意查询，进一步得到相应的数据信息。

❗️ 2. SQL注入的原理

SQL 注入是利用应用程序中对**用户输入数据的不当处理，**破坏了应用程序与数据库之间预期的正常交互，通过操纵输入来执行恶意的 SQL 操作。

SQL注入基本会满足以下的条件：

• 参数用户可控：也就是说，从前端传给后端的参数内容是用户可以控制的；

• 参数带入数据库查询：传入的参数需拼接到SQL语句，且带入到数据库查询。

当应用程序在构建 SQL 查询语句时，直接将用户输入的数据拼接到 SQL 语句中，而没有进行适当的验证、过滤或转义，攻击者就可以通过精心构造恶意的输入数据来改变原本预期的 SQL 语句逻辑。

例如，如果一个应用程序根据用户输入的用户名来查询数据库验证登录，正常的 SQL 语句可能是：

SELECT * FROM users WHERE username = 'John' 。

但如果没有对用户输入进行处理，攻击者输入 ' OR 1=1 -- ，那么最终的 SQL 语句可能变成：

SELECT * FROM users WHERE username = '' OR 1=1 --' 。

这里的 OR 1=1 总是为真，-- 是注释符，用于注释掉后面的剩余部分。这就导致可以绕过正常的认证逻辑，获取到所有用户的信息，或者执行其他非法的数据库操作。

💻 3. 简单演示

正常查询vince字段，结果显示也是正常的：

如果我们输入：vince' union select user(),database() #

数据库的账号和密码便会显示出来。

👀 4. 判断是否存在注入

我们可以通过一些简单的方法来初步判断一个应用是否存在 SQL 注入漏洞。例如，在输入框中输入一些特殊字符，如**单引号 '**观察系统的反馈。如果系统出现错误提示，且错误信息中包含了与数据库相关的详细内容，那么这可能是一个潜在的注入点。

另外，还可以尝试输入一些逻辑运算符，如

id=1 and 1=1

id=1 and 1=2

id=1 or 1=1

id='1' or '1'='1'

id="1" or "1"="1"

观察返回的结果是否有所不同。如果前者返回正常结果，而后者返回异常或无结果，也可能意味着存在注入漏洞。

🎬 几种sql注释符

井号 # ：单行注释，需要与url中的#区分，常编写为%23

--空格 ：单行注释，注意是两个短线+空格的组合

/*()*/ ：多行注释，至少存在两处的注入，/**/常用来作为空格

📚 5. 注入流程

判断是否存在注入并且判断注入类型

判断字段数：order by

确定回显点：union select 1,2

查询数据库信息：@@version @@datadir

查询用户名，数据库名：user() database()

文件读取：union select 1,load_file('c:\\windows\\win.ini')#

写入webshell：select...into outfile...

PS：使用sql注入遇到转义字符串的单引号或者双引号，可使用HEX编码绕过。

✨ 6. SQL注入分类

按照SQLMap中的分类来看，SQL注入只要分为以下几种类型：

• UNION query SQL injection：可联合查询注入
• Stacked queries SQL injection：可多语句查询注入，堆叠查询
• Boolean-based blind SQL injection：布尔型注入
• Error-based SQL injection：报错型注入
• Time-based blind SQL injection：基于时间延迟注入

📚 7. 注入数据类型的区分

int整型

select * from users where id = 1

string字符型

select * from users where username='admin'

like搜索型

select * from tables_01 where title like '%标题%'