独家供稿：移动Labs

　　SQL注入攻击(SQL Injection)，简称注入攻击、SQL注入，被广泛用于非法获取网站控制权，是发生在应用程序的数据库层上的安全漏洞。 在设计不良的程序当中，忽略了对输入字符串中夹带的SQL指令的检查，那么这些夹带进去的指令就会被数据库误认为是正常的SQL指令而运行， 从而使数据库受到攻击，可能导致数据被窃取、更改、删除，以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

　　SQL注入实例

　　某网站的登录页面如下：

　　

　　页面表单提交时，将用户名赋予变量v_user，将密码赋予变量v_pass。

　　假定该登录页面后台身份验证代码为：

　　"select * from user where user_name='"

　　+ v_user +

　　"' and password='"

　　+ v_pass +

　　"';"

　　如果输入：用户名：admin，密码：123456

　　则数据库执行的查询语句为：

　　select * from user where user_name='admin' and password='123456';

　　一切均正常。但如果用户恶意输入使得：

　　v_user="admin"

　　v_pass="1' or ‘1'='1"

　　此时认证SQL语句变成了：

　　select * from user where user_name='admin' and password='1' or ‘1'='1';

　　等同于语句：

　　select * from user where user_name='admin';

　　从而达到了无需密码，同样可登入网站的目的。

　　如果用户输入数据中包含其他update、 delete、 select等操作，则会导致数据库数据被修改、删除、和敏感内容泄密。

　　SQL注入位置

　　无论是内网环境还是外网环境(互联网)，B/S架构的Web应用(以下指网站)都直接或者间接地受到各种类型的Web攻击的影响。 对于后台数据库来说，以SQL注入攻击危害最为普遍，由于网站服务端语言自身的缺陷与程序员编写代码的安全意识不足， 攻击者可以将恶意SQL语句注入到正常的数据库操作指令中去，从而使该恶意SQL语句在后台数据库中被解析执行。

　　在SQL注入攻击之前，首先要找到网站中各类与数据库形成交互的输入点。通常情况下，一个网站的输入点包括：

　　表单提交，主要是POST请求，也包括GET请求。

　　URL参数提交，主要为GET请求参数。

　　Cookie参数提交。

　　HTTP请求头部的一些可修改的值，比如Referer、User_Agent等。

　　一些边缘的输入点，比如.mp3文件的一些文件信息等。

　　服务端从客户端直接或间接获取数据的过程都是一次输入过程， 无论直接或间接，默认情况下输入的数据都应该认为是不安全的。 上面列举的几类输入点，只要任何一点存在过滤不严，过滤缺陷等问题， 都有可能发生SQL注入攻击。大多数情况下，SQL注入的过程都是由工具完成的， 其中包括大批量注入工具的使用。

　　SQL注入危害

　　SQL注入的危害不仅体现在数据库层面上，还有可能危及承载数据库的操作系统;如果SQL注入被用来挂马，还可能用来传播恶意软件等，这些危害包括但不局限于：

　　数据库信息泄漏：数据库中存放的用户的隐私信息的泄露。作为数据的存储中心，数据库里往往保存着各类的隐私信息，SQL注入攻击能导致这些隐私信息透明于攻击者。

　　网页篡改：通过操作数据库对特定网页进行篡改。

　　网站被挂马，传播恶意软件：修改数据库一些字段的值，嵌入网马链接，进行挂马攻击。

　　数据库被恶意操作：数据库服务器被攻击，数据库的系统管理员帐户被窜改。

　　服务器被远程控制，被安装后门。经由数据库服务器提供的操作系统支持，让黑客得以修改或控制操作系统。

　　破坏硬盘数据，瘫痪全系统。

　　一些类型的数据库系统能够让SQL指令操作文件系统，这使得SQL注入的危害被进一步放大。

　　SQL注入解决方案

　　解决SQL注入问题的关键是对所有可能来自用户输入的数据进行严格的检查、对数据库配置使用最小权限原则。

　　经常使用的方案有：

　　所有的查询语句都使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口，使用此接口可以非常有效的防止SQL注入攻击。

　　对进入数据库的特殊字符('"\<>&*;等)进行转义处理，或编码转换。

　　确认每种数据的类型，比如数字型的数据就必须是数字，数据库中的存储字段必须对应为int型。

　　数据长度应该严格规定，能在一定程度上防止比较长的SQL注入语句无法正确执行。

　　网站每个数据层的编码统一，建议全部使用UTF-8编码，上下层编码不一致有可能导致一些过滤模型被绕过。

　　严格限制网站用户的数据库的操作权限，给此用户提供仅仅能够满足其工作的权限，从而最大限度的减少注入攻击对数据库的危害。

　　避免网站显示SQL错误信息，比如类型错误、字段不匹配等，防止攻击者利用这些错误信息进行一些判断。

　　在网站发布之前建议使用一些专业的SQL注入检测工具进行检测，及时修补这些SQL注入漏洞。

Finger发表在移动Labs的原文链接：http://labs.chinamobile.com/mblog/234_84787
相关博文：
Web安全专辑——挂马攻击漏洞
第三方电子商务交易的若干问题评述  
相关知识点：
国内运营商业务库