追根溯源 防范SQL注入攻擊

例如，黑客可以在認證頁面中輸入任何賬戶名，在密碼欄中輸入特殊格式字符串，就可以繞開認證文件，這是因為在上述SQL語句的尾部添加了特殊字符串，讓Where語句始終處于成立狀態的緣故。因此說，只要登錄頁面存在SQL注入漏洞，就可能讓密碼輸入形同虛設。利用SQL注入攻擊，黑客不僅可以非法查看數據，繞開認證環節，甚至可以對數據進行非法修改。

實際上，不同網站采用的數據庫引擎是不同的，黑客會有針對性的采取不同手法的SQL注入攻擊，來達到諸如執行系統命令、讀取文件、編輯文件、利用HTTP請求攻擊別的服務器等目的。

SQL注入攻擊的根源

根據以上分析，可以看到SQL注入攻擊之所以可以實現，在很大程度上是因為字面量的原因，黑客通過開發者意想不到的方式（例如單引號閉合、聯合查詢、利用分號執行下一語句等）來改變SQL語句的構造，實現對網站的攻擊行為。

所謂字面量，指的是SQL語句中的固定值，SQL語句中的每種數據類型都用對應的字面量，最常用是字符串和數值字面量。

對于SQL標準規格來說，字符串字面量必須以單引號括起來，如果要在字符串字面量內使用單引號，就需要使用連續兩個單引號來表示，這被稱為單引號轉義。

例 如 將“C'Apple”用于SQL字符串字面量時必須更改為“C''Apple”。但是在存在SQL注入漏洞的程序中，由于沒有轉義單引號，就會導致出諸如“select * from tb1 where name='C'Apply'”之類的語句。導致“'C'Apply'”字符串中間的單引號造成閉合現象，后面的“Apply'”被排斥在字符串字面量之外，造成該部分沒有任何意義，不可避免的會產生語法錯誤。

但是，如果將上述“Apply'”替換為有意義的SQL語句，就會導致SQL注入攻擊的發生，這才是SQL攻擊之所以存在的根本原因。

因為在SQL注入攻擊中，對于被插入的單引號排除出的字符串來說，其實是有意義的SQL語句，就會被應用程序調用而觸發特定的操作（例如篡改數據等）。

因此，無論SQL注入攻擊如何厲害，只要其被解釋為字面量就沒有任何問題，反之就會就會讓黑客攻擊得手。

除了針對字符串字面量的攻擊外，數值字面量也會遭到SQL注入攻擊的威脅。在網頁程序中，經常會使用到ASP、PHP等動態類型語言，其特點是不會限制變量的類型。這就會導致應該輸入數值的位置可能會被輸入其他類型的字符的情況，就會形成SQL注入攻擊。

例 如 對 于“select *from employee where age< $age”語句來說，如果將“15;delete from tb1” 這一字符串傳進來，就會被錯誤執行造成數據被刪除的問題。

因為數字字面量沒有被單引號括起來，所以當出現非數值的字符串時，就會被視為數字字面量終止，上述傳入的字符串中的分號之后的內容就被排除在數值字面量之外，被解釋為SQL語句的一部分。

因此，產生SQL注入漏洞的根本原因，是在于被指定為參數的字符串的一部分被排除在字面量之外，從而造成SQL語句發生了變化的緣故。

解決SQL注入的根本策略

根據以上分析，要想有效防御SQL注入漏洞，必須防止SQL語句在拼接過程中被惡意更改。

解決的方法包括使用占位符（Place Holder）拼接SQL語句，以及在應用程序拼接SQL語句時，確保字面量被正確處理，保證SQL語句不被惡意更改。SQL語句中的問號就是占位符，表示將變量或者表達式等可變參數填到此處。對于實際的安全防御中，最常用的是前一種方式。

例如對于上述網站來說，可以在網頁中對語句進行修改，將其變為：“$uname = $_GET['uname'];

$m d b 2 = M D B 2::connect('pgsq l://bookuser:bookuser@localhost/bookdb?charset=utf8');

$sql = "SELECT * FROM books WHERE uname = ?ORDER BY id"

$stmt = $mdb2 ->prepare($s q l,array('text'));

rs = $stmt->execute(array($uname));

不再使用權限極大的數據庫管理員賬戶，改用權限較小的賬戶來連接數據庫，當然該賬戶擁有對該數據庫的合理訪問權限。

在上述語句中使用了“？”占 位 符，在 使 用“execute”方法調用時，指定了實際的參數值和類型（這里為“text”類型），將值分配給給占位符這一操作被稱為綁定變量。

這里的“array('text')”表示占位符中的實際數 據。“rs = $stmt->execute(array($author));”語句表示提取用戶填入的的數據到變量中。通過占位符，讓數據庫按照指定的格式來進行預先編譯，得到執行的數據結構，該結構是不可改變的。然后等待需要傳入的實際數據，最后執行實際的語句，得到執行結果數據。

綜上所述，靜態占位符綁定變量的操作在數據庫引擎中執行，包含占位符的語句被直接發送給數據庫引擎，數據庫引擎對其進行編譯后確定SQL語句結構，隨后綁定的數據被發送給數據庫引擎，數據庫引擎得到數據庫將其填入到SQL語句并執行。因為SQL語句是在包含占位符的狀態下被編譯的，所以其是不可再次被更改的。

除了使用靜態占位符防御SQL注入攻擊外，還可以使用動態占位符來應對威脅。

動態占位符的工作方式為先在處理SQL的程序庫中執行綁定變量操作，之后將SQL語句發送給數據庫引擎加以處理，在綁定變量時字面量會被正確處理，這可以有效防御SQL注入攻擊。

不管是靜態占位符，還是動態占位符，都可以有效消除SQL注入漏洞，兩者比較后可以發現，靜態占位符可以徹底解除SQL注入的威脅，所以應該盡可能在實際的工作中采用靜態占位符的方式。

除了使用靜態靜態占位符這一根本性的解決方式外，還可以使用一些輔助性的技術來防范SQL注入攻擊。如禁止頁面顯示錯誤信息，對輸入的數據進行校驗，設置合理的數據庫權限等。

例如，黑客會利用錯誤信息頁面來查看SQL注入攻擊后的得到的數據，為了避免顯示詳細的錯誤信息，可以在PHP配置文件中輸入“display_errors = off”行，關閉錯誤信息顯示功能，讓黑客無法通過錯誤頁面獲取敏感信息。

對用戶輸入的內容進行檢測，也可以有效避免SQL注入攻擊危害，如根據應用程序的規格檢驗輸入值，清除惡意輸入的數據等。

例如對于身份證來說，可以利 用“^d{15}|d{18}$”之類的正則表達式加以校驗。將Web應用數據庫的訪問權限進行合理的數值，例如不要使用權限很大的管理員賬戶，盡量使用最低權限的賬戶，這樣即使發生了SQL注入攻擊，也可以將損失降低到最小。

對于僅僅需要顯示普通信息的操作，只要開放對應數據表的讀取權限即可，而不要賦予其寫入權限，就可以避免數據被惡意篡改。

對數據庫管理員的權限進行適當的限制，可以避免黑客通過SQL注入攻擊來非法讀取文件，將其對系統的危害降到最低。