研发安全(二)——后端开发必须掌握的SQL注入漏洞与防护-编程知识

研发安全(二)——后端开发必须掌握的SQL注入漏洞与防护

1 引言

SQL 注入对于我们研发人员来说，应该基本都听说过，甚至还在开发功能过程中不知不觉引入了SQL注入漏洞，只是没被发现而已。
所以，本文会系统的介绍下SQL注入漏洞的危害以及我们开发过程中如何进行防护。

2 SQL注入的成因

SQL注入漏洞是由于程序员在编写代码时，没有对用户输入的数据进行充分的验证和过滤，导致攻击者可以在SQL查询中插入恶意代码，从而执行非法操作。这种漏洞通常出现在动态生成SQL查询的应用程序中。

3 SQL注入的危害

数据泄露：获取Web网站数据库，导致数据泄露
数据篡改：攻击者可以通过SQL注入修改数据库中的数据，如更改用户权限、修改订单状态等。
系统破坏：攻击者可以利用SQL注入执行系统命令，如删除文件、关闭服务器等，导致系统瘫痪。

4 SQL注入原理

（1）攻击者在页面提交恶意字符
（2）服务器未对提交参数进行过滤或过滤不足
（3）攻击者利用拼接SQL语句方式获取数据库敏感信息

在这里插入图片描述

5 SQL注入典型案例

5.1 基于错误的SQL注入

攻击者通过在输入中添加特殊字符，如单引号（‘），导致SQL查询语句出现语法错误。
例如，如果一个登录表单的用户名输入框没有进行验证和过滤，攻击者可以输入以下内容：’ OR ‘1’=‘1，这将导致生成的SQL查询变为：SELECT * FROM users WHERE username = ‘’ OR ‘1’=‘1’ AND password = ‘xxx’。由于’1’='1’始终为真，攻击者将成功绕过密码验证。
示例代码：

# 不安全的代码
username = input("请输入用户名：")
password = input("请输入密码：")
sql_query = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'"

5.2 盲注

攻击者无法直接获取数据库信息，但可以通过逐步猜测来获取数据。
例如，攻击者可以使用布尔盲注，通过判断某个条件是否成立来推断出数据库的信息。比如攻击者可以输入以下内容：’ AND (SELECT ascii(substr(database(),1,1)) FROM dual) > 100。如果查询返回结果，说明数据库名称的第一个字母的ASCII码大于100。
示例代码：

# 不安全的代码
username = input("请输入用户名：")
password = input("请输入密码：")
sql_query = "SELECT * FROM users WHERE username = '" + username + "' AND (SELECT ascii(substr(database(),1,1)) FROM dual) > 100 AND password = '" + password + "'"

5.3 时间盲注

攻击者通过观察数据库查询的响应时间来判断某个条件是否成立。
例如，攻击者可以输入以下内容：’ AND IF((SELECT count(_) FROM users) > 1000, sleep(5), 0)。_如果查询需要5秒钟才能返回结果，说明用户表中的记录数大于1000。
示例代码：

# 不安全的代码
username = input("请输入用户名：")
password = input("请输入密码：")
sql_query = "SELECT * FROM users WHERE username = '" + username + "' AND IF((SELECT count(*) FROM users) > 1000, sleep(5), 0) AND password = '" + password + "'"

6 防护策略和措施

6.1 参数化查询

使用参数化查询可以避免SQL注入，因为它将查询和数据分开处理，确保数据不会被解释为SQL代码。例如：

# 安全的代码
username = input("请输入用户名：")
password = input("请输入密码：")
sql_query = "SELECT * FROM users WHERE username = %s AND password = %s"
params = (username, password)

6.2 输入验证

对用户输入的数据进行严格的验证，比如限制长度，使用正则检查格式。例如：

# 安全的代码
import re
username = input("请输入用户名：")
if not re.match("^[a-zA-Z0-9_]{4,20}$", username):print("用户名格式不正确")
else:password = input("请输入密码：")# ...

6.3 输出编码

对输出的数据进行编码，避免在HTML、JavaScript 等环境中执行恶意代码。例如：

# 安全的代码
username = input("请输入用户名：")
encoded_username = html.escape(username)
# ...

6.4 最小权限原则

数据库连接分配最小的必要权限，避免攻击者获取过多的数据和执行非法操作。例如：

# 安全的代码
import pymysql
connection = pymysql.connect(host='localhost', user='user', password='password', db='db', charset='utf8mb4')
cursor = connection.cursor()
cursor.execute("SET SESSION SQL_MODE='STRICT_TRANS_TABLES,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION'")
# ...

6.5 错误处理

不要在错误信息中泄露数据库的详细信息，避免给攻击者提供攻击线索。例如：

# 安全的代码
try:cursor.execute(sql_query, params)
except pymysql.Error as e:print("数据库错误，请联系管理员")
# ...

6.6 定期更新和安全审计

及时更新应用程序和数据库管理系统，修复已知的安全漏洞。
定期对应用程序进行安全审计，检查是否存在潜在的SQL注入漏洞。

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.hqwc.cn/news/564099.html

如若内容造成侵权/违法违规/事实不符，请联系编程知识网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！