SQL注入攻击与防护（实战进阶篇）

1. 漏洞描述
SQL注入是一种将恶意SQL代码插入到应用程序输入参数中，从而操纵后端数据库查询的攻击技术。在实战进阶场景中，攻击者不仅利用简单的单引号闭合漏洞，还会结合数据库特性、应用程序逻辑和防御机制，实现数据窃取、权限提升或系统控制。

2. 漏洞原理深化

• 二次注入：应用程序对输入进行转义后存入数据库，但后续从数据库取出数据时未再次转义，导致恶意代码在二次使用时生效。
• 堆叠查询（Stacked Queries）：利用分号（;）追加多条SQL语句，在支持此特性的数据库（如MySQL、PostgreSQL）中执行任意操作。
• 盲注进阶技巧：通过时间延迟（如MySQL的SLEEP(5)）或条件性错误响应，逐位提取数据，同时规避常规检测。

3. 实战攻击步骤
步骤1：探测注入点

• 输入单引号（'）观察是否报错，或使用逻辑测试（如1' AND '1'='1与1' AND '1'='2）检查响应差异。
• 使用工具（如SQLMap）自动化探测，但需注意绕过WAF（Web应用防火墙）的策略，如混淆参数编码。

步骤2：确定数据库类型

• 通过特有函数判断：
  • MySQL：@@version、DATABASE()
  • PostgreSQL：version()、current_database()
  • Oracle：SELECT banner FROM v$version

步骤3：利用联合查询（UNION）提取数据

• 确定列数：通过ORDER BY n递增测试，直到报错。
• 匹配数据类型：在UNION SELECT中混合使用NULL和字符串（如'a'）避免类型错误。
• 示例Payload：

  ' UNION SELECT username, password FROM users WHERE '1'='1
  

步骤4：绕过防御机制

• 编码绕过：对Payload进行URL编码、Base64编码或十六进制转换。
• 注释符混淆：利用/*!50000SELECT*/（MySQL特性）或内联注释绕过过滤。
• WAF绕过：通过大小写变换、插入空白符（如%0a）或使用非常规函数（如MySQL的/**/分割关键词）。

4. 防护方案

• 预编译语句（Prepared Statements）：使用参数化查询，确保输入数据仅作为值处理，永不解析为SQL语法。
  • Java示例：

    String sql = "SELECT * FROM users WHERE id = ?";
    PreparedStatement stmt = connection.prepareStatement(sql);
    stmt.setInt(1, userId);
    

• 最小权限原则：数据库账户仅授予必要权限（如禁止执行系统命令）。
• 输入验证：采用白名单机制，严格限制输入格式（如数字字段仅允许数字）。
• 纵深防御：结合WAF、SQL注入规则库（如OWASP ModSecurity CRS）和日志监控，实时检测异常请求。

5. 进阶场景：工具自动化与防御反制

• SQLMap高级参数：使用--tamper脚本（如charencode.py）绕过过滤，或--level调整检测深度。
• 防御反制：模拟虚假错误信息、延迟响应或注入蜜罐表，误导攻击者并记录其行为。

通过以上步骤，可系统掌握SQL注入的深层利用与防护策略，提升实战对抗能力。