SQL 注入（超详细）

💡一则或许对你有用的小广告

欢迎加入小哈的星球 ，你将获得：专属的项目实战 / 1v1 提问 / Java 学习路线 / 学习打卡 / 每月赠书 / 社群讨论

• 新项目:《从零手撸：仿小红书（微服务架构）》 正在持续爆肝中，基于 Spring Cloud Alibaba + Spring Boot 3.x + JDK 17...，点击查看项目介绍 ;演示链接： http://116.62.199.48:7070 ;
• 《从零手撸：前后端分离博客项目（全栈开发）》 2 期已完结，演示链接： http://116.62.199.48/ ;

截止目前， 星球 内专栏累计输出 90w+ 字，讲解图 3441+ 张，还在持续爆肝中.. 后续还会上新更多项目，目标是将 Java 领域典型的项目都整一波，如秒杀系统, 在线商城, IM 即时通讯，权限管理，Spring Cloud Alibaba 微服务等等，已有 3100+ 小伙伴加入学习 ，欢迎点击围观

在互联网安全领域，"SQL 注入" 是一种常见且危害极大的攻击手段，它能够直接破坏数据库的安全性，导致敏感数据泄露、服务瘫痪甚至系统被完全控制。对于编程初学者和中级开发者来说，理解 SQL 注入的原理与防御方法，不仅能提升代码质量，还能为构建更安全的应用程序打下基础。本文将通过通俗易懂的语言、实际案例和代码示例，逐步揭开 SQL 注入的面纱，帮助读者掌握关键防护策略。

什么是 SQL 注入？

SQL 注入（SQL Injection）是攻击者通过构造恶意的 SQL 查询语句，绕过应用程序的安全验证，从而非法访问或破坏数据库的行为。
形象地说，可以将 SQL 语句比作快递单：应用程序原本期望用户填写姓名、地址等信息（合法输入），但攻击者却在这些字段中填写了额外的 SQL 代码（如 '; DROP TABLE users; --），相当于在快递单上篡改了收件地址，导致系统执行了原本不应该发生的操作。

核心特征

• 利用输入漏洞：攻击者通过应用程序的输入接口（如表单、API 端点）注入恶意代码。
• 动态 SQL 执行：应用程序未对用户输入进行过滤或转义，直接拼接成 SQL 语句并执行。
• 破坏数据库逻辑：攻击者可能窃取数据、修改数据、删除表，甚至执行系统命令。

SQL 注入的攻击原理

动态 SQL 拼接的隐患

许多应用程序会通过拼接字符串的方式构建 SQL 查询，例如：

// 不安全的 PHP 代码示例  
$username = $_GET['username'];  
$password = $_GET['password'];  
$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";  

当用户输入合法信息时，这条语句正常执行。但若攻击者输入以下内容作为 username：

' OR '1'='1  

拼接后的 SQL 语句会变成：

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = ''  

由于 '1'='1 永远为真，攻击者无需密码即可登录任意账户。

攻击的三个阶段

1. 探测漏洞：攻击者尝试在输入框中输入特殊字符（如 '、--）观察系统响应。
2. 注入有效载荷：通过测试确定漏洞存在后，注入恶意 SQL 代码。
3. 执行破坏操作：利用注入的代码窃取数据、删除表或执行其他危险操作。

典型 SQL 注入案例分析

案例 1：登录绕过攻击

假设某网站的登录逻辑如下（Python 示例）：

user_input = input("请输入用户名：")  
password_input = input("请输入密码：")  
query = f"SELECT * FROM users WHERE username='{user_input}' AND password='{password_input}'"  

攻击者输入以下内容：

username: admin'--  
password: 任意值  

拼接后的 SQL 语句会变成：

SELECT * FROM users WHERE username='admin'--' AND password='任意值'  

注释符 -- 使后续条件失效，攻击者直接以 admin 身份登录。

案例 2：数据泄露攻击

攻击者通过注入以下语句窃取所有用户密码：

' UNION SELECT username, password FROM users;--  

此语句会将攻击者构造的查询结果与原查询合并，返回所有用户的账户密码。

SQL 注入的防御策略

1. 参数化查询（Prepared Statements）

参数化查询通过将 SQL 语句与用户输入分离，彻底阻止攻击者注入恶意代码。例如：

// Java 示例（使用 PreparedStatement）  
String query = "SELECT * FROM users WHERE username = ? AND password = ?";  
PreparedStatement pstmt = connection.prepareStatement(query);  
pstmt.setString(1, username);  
pstmt.setString(2, password);  
ResultSet rs = pstmt.executeQuery();  

此方法强制将用户输入视为普通数据而非 SQL 代码，是防御 SQL 注入的最佳实践。

2. 输入过滤与转义

对用户输入进行严格的格式验证和转义处理：

// PHP 示例（使用 mysqli_real_escape_string）  
$username = mysqli_real_escape_string($conn, $_POST['username']);  
$password = mysqli_real_escape_string($conn, $_POST['password']);  

但需注意，转义仅作为辅助手段，参数化查询才是根本解决方案。

3. 最小权限原则

为数据库用户分配最小必要权限，例如：

• 仅允许应用程序账户执行查询和插入操作，禁止删除或修改表结构。
• 禁用不必要的存储过程或超级用户权限。

4. 错误信息隐藏

避免向用户展示详细的数据库错误信息，防止攻击者利用错误信息推断系统漏洞。

高级防护技巧与工具

使用 Web 应用防火墙（WAF）

部署 WAF 可以自动检测并拦截 SQL 注入等常见攻击。例如，通过 Nginx 配置规则：

location /api/ {  
    # 阻止包含特殊字符的请求  
    if ($request_body ~* "UNION|SELECT|DROP|INSERT") {  
        return 403;  
    }  
}  

但需注意，WAF 不能替代代码层的安全措施。

定期安全审计

通过工具（如 SQLMap）模拟攻击，检测系统是否存在 SQL 注入漏洞。例如：

sqlmap -u "http://example.com/login?username=admin" --dbs  

此命令可扫描目标网站的数据库名称。

总结

SQL 注入是开发者必须重视的安全威胁，它不仅可能导致数据泄露，还可能引发法律和声誉风险。通过本文的讲解，读者应能理解其原理、识别常见攻击场景，并掌握防御方法。关键要点总结如下：

• 核心原则：始终使用参数化查询替代字符串拼接。
• 防御层次：结合代码安全、权限管理、工具检测构建多层防护。
• 持续学习：关注新兴攻击手段（如 NoSQL 注入）和安全工具的更新。

保护数据库安全是一个持续的过程，唯有不断学习与实践，才能有效抵御 SQL 注入等攻击，为用户提供可靠的服务。