本文簡要介紹了SQL注入攻擊的原理，SQL注入攻擊實現過程，并在此基礎上給出了一種SQL注入攻擊的自動防范模型。

1  SQL注入攻擊概述

1.1  SQL注入技術定義

SQL注入（SQL Injection）技術在國外最早出現在1999年，我國在2002年后開始大量出現，目前沒有對SQL注入技術的標準定義，微軟中國技術中心從2個方面進行了描述：

（1）腳本注入式的攻擊

（2）惡意用戶輸入用來影響被執行的SQL腳本

Chris Anley將SQL注入定義為，攻擊者通過在查詢操作中插入一系列的SQL語句到應用程序中來操作數據。Stephen Kost[3]給出了SQL注入的一個特征，“從一個數據庫獲得未經授權的訪問和直接檢索”。利用SQL注入技術來實施網絡攻擊常稱為SQL注入攻擊，其本質是利用Web應用程序中所輸入的SQL語句的語法處理，針對的是Web應用程序開發者編程過程中未對SQL語句傳入的參數做出嚴格的檢查和處理所造成的。習慣上將存在SQL注入點的程序或者網站稱為SQL注入漏洞。實際上，SQL注入是存在于有數據庫連接的應用程序中的一種漏洞，攻擊者通過在應用程序中預先定義好的查詢語句結尾加上額外的SQL語句元素，欺騙數據庫服務器執行非授權的查詢。這類應用程序一般是基于Web的應用程序，它允許用戶輸入查詢條件，并將查詢條件嵌入SQL請求語句中，發送到與該應用程序相關聯的數據庫服務器中去執行。通過構造一些畸形的輸入，攻擊者能夠操作這種請求語句去獲取預先未知的結果。

1.2  SQL注入攻擊特點

SQL注入攻擊是目前網絡攻擊的主要手段之一，在一定程度上其安全風險高于緩沖區溢出漏洞，目前防火墻不能對SQL注入漏洞進行有效地防范。防火墻為了使合法用戶運行網絡應用程序訪問服務器端數據，必須允許從Internet到Web服務器的正向連接，因此一旦網絡應用程序有注入漏洞，攻擊者就可以直接訪問數據庫進而甚至能夠獲得數據庫所在的服務器的訪問權，因此在某些情況下，SQL注入攻擊的風險要高于所有其他漏洞。SQL注入攻擊具有以下特點：

（1）廣泛性。SQL注入攻擊利用的是SQL語法，因此只要是利用SQL語法的Web應用程序如果未對輸入的SQL語句做嚴格的處理都會存在SQL注入漏洞，目前以Active/Java Server Pages、 Cold Fusion Management、 PHP、Perl等技術與SQL Server、Oracle、DB2、Sybase等數據庫相結合的Web應用程序均發現存在SQL注入漏洞。

（2）技術難度不高。SQL注入技術公布后，網絡上先后出現了多款SQL注入工具，例如教主的HDSI、NBSI、明小子的Domain等，利用這些工具軟件可以輕易地對存在SQL注入的網站或者Web應用程序實施攻擊，并最終獲取其計算器的控制權。

（3）危害性大，SQL注入攻擊成功后，輕者只是更改網站首頁等數據，重者通過網絡滲透等攻擊技術，可以獲取公司或者企業機密數據信息，產生重大經濟損失。

2  SQL注入攻擊的實現原理

2.1  SQL注入攻擊實現原理
 
結構化查詢語言（SQL）是一種用來和數據庫交互的文本語言，SQL Injection就是利用某些數據庫的外部接口把用戶數據插入到實際的數據庫操作語言當中，從而達到入侵數據庫乃至操作系統的目的。它的產生主要是由于程序對用戶輸入的數據沒有進行細致的過濾，導致非法數據的導入查詢。

SQL注入攻擊主要是通過構建特殊的輸入，這些輸入往往是SQL語法中的一些組合，這些輸入將作為參數傳入Web應用程序，通過執行SQL語句而執行入侵者的想要的操作，下面以登錄驗證中的模塊為例，說明SQL注入攻擊的實現方法。

在Web應用程序的登錄驗證程序中，一般有用戶名（username）和密碼（password）兩個參數，程序會通過用戶所提交輸入的用戶名和密碼來執行授權操作。其原理是通過查找user表中的用戶名（username）和密碼（password）的結果來進行授權訪問，典型的SQL查詢語句為：

Select * from users where username='admin' and password='smith’ 

如果分別給username和password賦值“admin' or 1=1--”和“aaa”。 那么，SQL腳本解釋器中的上述語句就會變為：

select * from users where username=’admin’ or 1=1-- and password=’aaa’

該語句中進行了兩個判斷，只要一個條件成立，則就會執行成功，而1=1在邏輯判斷上是恒成立的，后面的“--”表示注釋，即后面所有的語句為注釋語句。同理通過在輸入參數中構建SQL語法還可以刪除數據庫中的表，查詢、插入和更新數據庫中的數據等危險操作：

（1）jo'; drop table authors—如果存在authors表則刪除。

（2）' union select sum(username) from users—從users表中查詢出username的個數

（3）'; insert into users values( 666, 'attacker', 'foobar', 0xffff )—在user表中插入值

（4）' union select @@version,1,1,1--查詢數據庫的版本

（5）'exec master..xp_cmdshell 'dir' 通過xp_cmdshell來執行dir命令

2.2.  SQL注入攻擊實現過程

SQL注入攻擊可以手工進行，也可以通過SQL注入攻擊輔助軟件如HDSI、Domain、NBSI等，其實現過程可以歸納為以下幾個階段：

（1）尋找SQL注入點；尋找SQL注入點的經典查找方法是在有參數傳入的地方添加諸如“and  1=1”、“and 1=2”以及“’”等一些特殊字符，通過瀏覽器所返回的錯誤信息來判斷是否存在SQL注入，如果返回錯誤，則表明程序未對輸入的數據進行處理，絕大部分情況下都能進行注入。

（2）獲取和驗證SQL注入點；找到SQL注入點以后，需要進行SQL注入點的判斷，常常采用2.1中的語句來進行驗證。

（3）獲取信息；獲取信息是SQL注入中一個關鍵的部分，SQL注入中首先需要判斷存在注入點的數據庫是否支持多句查詢、子查詢、數據庫用戶賬號、數據庫用戶權限。如果用戶權限為sa，且數據庫中存在xp_cmdshell存儲過程，則可以直接轉（4）。

（4）實施直接控制；以SQL Server 2000為例，如果實施注入攻擊的數據庫是SQL Server 2000，且數據庫用戶為sa，則可以直接添加管理員賬號、開放3389遠程終端服務、生成文件等命令。

（5）間接進行控制。間接控制主要是指通過SQL注入點不能執行DOS等命令，只能進行數據字段內容的猜測。在Web應用程序中，為了方便用戶的維護，一般都提供了后臺管理功能，其后臺管理驗證用戶和口令都會保存在數據庫中，通過猜測可以獲取這些內容，如果獲取的是明文的口令，則可以通過后臺中的上傳等功能上傳網頁木馬實施控制，如果口令是明文的，則可以通過暴力破解其密碼。