Java菜鸟面试突破系列之SQL注入

Java菜鸟面试突破系列之SQL注入

概念：所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如诸多网站用户信息泄露大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入攻击。

攻击步骤：

a) 寻找注入点(如：登录界面、留言板等)

b) 用户自己构造SQL语句(如：’ or 1=1# 或者其他注释形式，后面会讲解)

c) 将sql语句发送给数据库管理系统(DBMS)

d) DBMS接收请求，并将该请求解释成机器代码指令，执行必要的存取操作

e) DBMS接受返回的结果，并处理，返回给用户

因为用户构造了特殊的SQL语句，必定返回特殊的结果(只要你的SQL语句够灵活的话)。

下面，我通过一个实例具体来演示下SQL注入 ：

SQL注入实例详解：

1、这里就以一个很简单的登录页面为例进行讲解其中的sql注入攻击的过程：一个最简单的用户登录界面，少不了填写用户名、密码这两个字段以及提交、重置两个按钮，当用户点击提交（登录）按钮时，将会把表单的数据提交到验证（这个验证机制就是sql注入攻击的入口，一旦没有对用户提交过来的数据进行特殊字符过滤处理，这里就会发生致命的漏洞），如果这里验证机制中，我们直接把用户提交的数据拿来执行，很明显，只要username和password两个字段匹配成功的话，就能跳转到相应的用户操作界面，不成功则给出友好提示！

2、填好正确的用户名(czc)和密码(123)后，点击提交，将会返回给我们“欢迎czc登录”的界面。

因为根据我们提交的用户名和密码被合成到SQL查询语句当中之后是这样的：

select * from users where username='czc' and password=md5('123')

很明显，用户名和密码都和我们之前给出的一样，肯定能够成功登陆。但是，如果我们输入一个错误的用户名或密码呢？很明显，肯定登入不了吧。恩，正常情况下是如此，但是对于有SQL注入漏洞的网站来说，只要构造个特殊的“字符串”，照样能够成功登录。

比如：在用户名输入框中输入:’ or 1=1#,密码随便输入，这时候的合成后的SQL查询语句为：

select * from users where username='' or 1=1#' and password=md5('')

语义分析：“#”在mysql中是注释符，这样#号后面的内容将被mysql视为注释内容，这样就不会去执行了，换句话说，以下的两句sql语句等价：

select * from users where username='' or 1=1#' and password=md5('')

select * from users where username='' or 1=1

在这个sql语句里，因为1=1永远是成立的，所以where字句恒为true，于是sql语句可以简化如下：

select * from users

这个sql语句的作用就是检索users表中的所有字段 ，所以这样子我们很容易就能够通过SQL注入登录成功了！

适用范围：

1. 如果一个系统是通过下面这种显式的SQL来进行登陆校验，

SELECT * FROM users where username='czc' and password = '123'

也就是执行这个SQL语句，如果数据库中存在用户名为czc, password为123的用户，就登陆成功，否则就登陆失败。

2. 系统没有对用户输入进行全面的过滤

3. 系统后台使用的是MYSQL数据库

4. 系统中存在一个user name为admin的用户

攻击原理：

利用mysql的注释功能，也就是”#”、”–”、”/…/”， mysql执行SQL脚本时，如果遇到#、–、/*标示符，就会把之后的SQL当做注释而不会执行，正常情况下用户在用户名框内输入”czc”,在password框内输入”123”, 后台执行的SQL语句就为

SELECT * FROM users where username='czc' and password = '123'

但是如果在用户名框内输入”czc’ AND 1=1 /*”，这里也可以输入之前提过更为霸道的一种方式“’ or 1=1#”在密码框内输入任意字符串，那么后台执行的SQL就为

SELECT * FROM users where username='czc' and AND 1=1 /* and password = '345'，

第二种在上面已经写过了，这里不再赘述！

可以看到数据库实际执行的SQL为

SELECT * FROM users where username='czc' and AND 1=1

而/*后面的SQL就被当做注释而忽略掉了，登陆成功！