SQL注入
攻击原理
在编写SQL语句时,如果直接将用户传入的数据作为参数使用字符串拼接的方式插入到SQL查询中,那么攻击者可以通过注入其他语句来执行攻击操作,这些攻击包括可以通过SQL语句做的任何事:获取敏感数据、修改数据、删除数据库表等
攻击示例
假设我们的程序是一个学生信息查询程序,其中的某个视图函数接收用户输入的密码,返回根据密码查询对应的数据。我们的数据库有一个db对象表示,SQL语句通过execute()方法执行:
@app.route('/students')
def bobby_table():
password = request.args.get('password')
cur = db.execute("SELECT * FROM students WHERE password = '%s';" %password)#直接使用用户输入的数据执行sql
results = cur.fetchall()
return results
在实际应用中,敏感数据需要通过表单提交的POST请求接收,这里为了便于演示,通过查询参数接收。
我们通过查询字符串获取用户插入的查询参数,并且不经过任何处理就使用字符串格式化的方法拼接到SQL语句中。在这种情况下,如果攻击者输入的参数值为” ‘or 1 =1”,即http://example.com/students?password=’or 1=1 --,那么视图函数中被执行的SQL语句就变成:
select * from students where password=’’ or 1=1 --;’
这时会把students表中所有记录全部查询并返回,也就意味着所有的记录都被攻击者窃取了。更可怕的是,如果攻击者将password参数的值设为”’; drop table users; --”,那么查询语句就会变成:
select * from students where password=’ ’; drop table users; --’
这个语句会把students表中所有的记录全部删掉。
在SQL中,“;”用来结束一行语句;“--”用来注视后边的语句,类似python的”#”。
主要防范方法
验证输入类型
比如某个视图函数接收整形id来查询,那么就在URL规则中限制URL变量为整形。
参数化查询
在构造SQL语句时避免使用拼接字符串或字符串格式化(使用百分号或format()方法)的方式来构建SQL语句。而要使用各类接口库提供的参数化查询方法,以mysql为例:
db.execute(‘select * from students where password=@password’),此时,即使password的值是“’ or 1=1 --”话,那么SQL在执行的时候会把password这个变量单独进行解析:
@password=’’ or 1=1 –‘,并不会像拼接字符串那样使这个SQL执行其他的动作,所以就不会被注入了
转义特使字符
比如引号、分号和横线等。使用参数化查询时,各种接口库会为我们做转义工作。