一、手工注入流程：从发现到利用

1. 寻找注入点

注入点是攻击的入口，通常出现在以下场景：

• URL参数：参数 id 可能为数字型或字符型注入点。
• 表单提交：如登录框、搜索框等POST请求。
• 如 User-Agent、Cookie 等可能被后端数据库查询引用。

判断方法：

• 数字型注入：在参数后添加 AND 1=1 和 AND 1=2，观察页面响应。若前者正常、后者异常，可能存在注入。
• 字符型注入：尝试在参数后添加单引号 '，若页面报错或行为异常，可能存在闭合问题。
• 报错分析：通过错误信息（如MySQL的 You have an error in your SQL syntax）确认数据库类型及注入可行性。

2. 确定字段数与回显点

注入成功后，需确定数据库查询返回的字段数及页面回显位置，以便提取数据。

方法：

• ORDER BY折半法：通过 ORDER BY 1、ORDER BY 2…逐步测试，直到页面报错，确定字段数。例如，ORDER BY 4 报错，说明字段数为3。
• UNION联合查询：构造 UNION SELECT 1,2,3，观察页面回显位置。若数字2、3出现在页面中，则这些位置为回显点。

3. 提取敏感信息

通过回显点，可逐步提取数据库名、表名、字段名及数据。

关键步骤：

• 数据库名：使用 database() 函数。
• 表名：查询 information_schema.tables 表，筛选当前数据库的表。
• 字段名：查询 information_schema.columns 表，获取表的字段。
• 数据提取：通过回显点拼接查询语句，如 UNION SELECT username,password FROM users。

二、高级攻击技术：文件读写操作

1. 文件读取

通过数据库的 LOAD_FILE() 函数（MySQL）或类似功能，攻击者可读取服务器上的敏感文件（如配置文件、密码文件）。

条件：

• 数据库用户需有文件读取权限。
• 文件路径需已知且可访问。

示例：

1. 确认数据库支持文件操作（如MySQL的 secure_file_priv 参数未限制）。
2. 构造注入语句：UNION SELECT 1,LOAD_FILE('/etc/passwd'),3，读取系统用户列表。

2. 文件写入

通过 INTO OUTFILE 或 DUMPFILE 函数，攻击者可写入恶意文件（如Webshell），实现持久化控制。

条件：

• 数据库用户需有文件写入权限。
• 目标目录需可写。

示例：

1. 构造注入语句：UNION SELECT 1,'<?php system($_GET["cmd"]); ?>',3 INTO OUTFILE '/var/www/html/shell.php'。
2. 访问执行系统命令。

风险：文件写入可导致服务器被完全控制，需严格限制数据库用户的文件操作权限。

三、防御策略：从代码到架构

1. 输入验证与过滤

• 白名单验证：限制输入类型（如仅允许数字、字母）。
• 转义特殊字符：对单引号、双引号等字符进行转义处理。
• 正则表达式：使用正则匹配合法输入格式（如邮箱、手机号）。

2. 参数化查询（预编译语句）

• 核心原理：将SQL语句与用户输入分离，避免拼接攻击。
• 实现方式：使用ORM框架（如Hibernate）或数据库驱动提供的预编译API。

3. 最小权限原则

• 数据库用户：仅授予必要权限（如SELECT、UPDATE），禁止DROP、FILE等高危操作。
• 文件系统权限：限制数据库进程对敏感目录的读写权限。

4. 安全编码规范

• 避免动态拼接SQL：禁止直接将用户输入拼接到SQL语句中。
• 日志与监控：记录异常SQL查询，及时预警攻击行为。

5. 定期更新与补丁

• 数据库软件：及时修复已知漏洞（如MySQL、PostgreSQL的最新版本）。
• 依赖库：更新ORM框架、Web框架等组件，避免使用存在漏洞的旧版。

四、总结：SQL注入的攻防博弈

SQL注入的本质是信任用户输入导致的逻辑漏洞。攻击者通过精心构造的输入，突破应用程序的防御，直接操控数据库。而防御的核心在于隔离输入与执行，通过参数化查询、输入验证、最小权限等手段，构建多层次的安全防护。

对于开发者而言，安全不是一次性任务，而是贯穿开发周期的持续实践。只有深入理解攻击原理，才能编写出真正安全的代码，守护用户数据与系统安全。