Java程序员从笨鸟到菜鸟之（一百）sql注入攻击详解（一）sql注入原理详解

前段时间，在很多博客和微博中暴漏出了12306 铁道部网站的一些漏洞，作为这么大的一个项目，要说有漏洞也不是没可能，但其漏洞确是一些菜鸟级程序员才会犯的错误。其实 sql 注入漏洞就是一个。作为一个菜鸟小程序员，我对 sql 注入的东西了解的也不深入，所以抽出时间专门学习了一下。现在把学习成果分享给大家，希望可以帮助大家学习。下面我们就来看一下。

一、什么是sql 注入呢？

所谓SQL 注入，就是通过把 SQL 命令插入到 Web 表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL 命令，比如先前的很多影视网站泄露 VIP 会员密码大多就是通过 WEB 表单递交查询字符暴出的，这类表单特别容易受到 SQL 注入式攻击．当应用程序使用输入内容来构造动态 sql 语句以访问数据库时，会发生 sql 注入攻击。如果代码使用存储过程，而这些存储过程作为包含未筛选的用户输入的字符串来传递，也会发生 sql 注入。 黑客通过SQL 注入攻击可以拿到网站数据库的访问权限，之后他们就可以拿到网站数据库中所有的数据，恶意的黑客可以通过 SQL 注入功能篡改数据库中的数据甚至会把数据库中的数据毁坏掉。做为网络开发者的你对这种黑客行为恨之入骨，当然也有必要了解一下 SQL 注入这种功能方式的原理并学会如何通过代码来保护自己的网站数据库

 

二、sql 注入产生原因

sql注入攻击是利用是指利用设计上的漏洞，在目标服务器上运行Sql 语句以及进行其他方式的攻击，动态生成 Sql 语句时没有对用户输入的数据进行验证是 Sql 注入攻击得逞的主要原因。对于 java数据库连接 JDBC而言， SQL 注入攻击只对 Statement 有效，对 PreparedStatement 是无效的，这是因为 PreparedStatement 不允许在不同的插入时间改变查询的逻辑结构。
如验证用户是否存在的SQL 语句为：
用户名'and pswd='密码
如果在用户名字段中输入:'or1=1或是在密码字段中输入:'or1=1

将绕过验证，但这种手段只对只对Statement 有效，对 PreparedStatement 无效。相对 Statement 有以下优点：
1.防注入攻击
2.多次运行速度快
3.防止数据库缓冲区溢出
4.代码的可读性可维护性好
这四点使得PreparedStatement 成为访问数据库的语句对象的首选，缺点是灵活性不够好，有些场合还是必须使用 Statement 。

 

三、sql 注入原理

下面我们来说一下sql注入原理，以使读者对sql注入攻击有一个感性的认识，至于其他攻击，原理是一致的。

SQL注射能使攻击者绕过认证机制，完全控制远程服务器上的数据库。SQL是结构化查询语言的简称，它是访问数据库的事实标准。目前，大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台都使用某种SQL数据库。跟大多数语言一样，SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话，用户数据就有可能被解释成命令，这样的话，远程用户就不仅能向Web应用输入数据，而且还可以在数据库上执行任意命令了。

SQL注入式攻击的主要形式有两种。一是直接将代码插入到与SQL命令串联在一起并使得其以执行的用户输入变量。上面笔者举的例子就是采用了这种方法。由于其直接与SQL语句捆绑，故也被称为直接注入式攻击法。二是一种间接的攻击方法，它将恶意代码注入要在表中存储或者作为原书据存储的字符串。在存储的字符串中会连接到一个动态的SQL命令中，以执行一些恶意的SQL代码。注入过程的工作方式是提前终止文本字符串，然后追加一个新的命令。如以直接注入式攻击为例。就是在用户输入变量的时候，先用一个分号结束当前的语句。然后再插入一个恶意SQL语句即可。由于插入的命令可能在执行前追加其他字符串，因此攻击者常常用注释标记“—”来终止注入的字符串。执行时，系统会认为此后语句位注释，故后续的文本将被忽略，不背编译与执行。

四．SQL注入攻击的简单示例：

这里我们举一个比较常见的例子来简要说明一下sql注入的原理。假如我们有一个users表，里面有两个字段username和password。在我们的java代码中我们初学者都习惯用sql拼接的方式进行用户验证。比如："selectidfromuserswhereusername='"+username+"'andpassword='"+password+"'"这里的username和password都是我们存取从web表单获得的数据。下面我们来看一下一种简单的注入，如果我们在表单中username的输入框中输入'or1=1，password的表单中随便输入一些东西，假如这里输入123.此时我们所要执行的sql语句就变成了selectidfromuserswhereusername=''or1=1andpassword='123'，我们来看一下这个sql，因为1=1是true，所以这里完全跳过了sql验证。这里只是简单的举一个例子。很多sql注入的方式还有很多，我将会在下面的博客中一一讲解。

推荐阅读：

sql注入攻击详解（二）sql注入过程详解

在下面的博客中，我还会继续为大家讲解，sql注入的过程和预防，请大家敬请期待。

 

注明： 本文仅供读者学习所用，请不要做有些违反法律的事情，一旦发生，与本人无关

 

------------------------------------------------------------------------------------------------------------------------

广告：我参加了2012年度IT博客大赛，希望大家能多多支持

http://blog.51cto.com/contest2012/3545281