准备

SQL注入是一个过气的话题（现在的项目大部分都已经使用ORM来对数据库进行查询了，所以SQL注入在大部分情况下都已经被框架给规避掉了）；然而不管你在不在乎，它都在那里，它是WEB领域攻击的一种最常见的手段，它通过利用可视化界面的表单录入(例如: 登录界面的用户名输入框)，输入一些乱七八糟的字符来影响你的SQL原声语句的拼接，从而影响整个查询结果来达到Hacker的目的。

先声明一下我的操作系统是Windows7，数据库采用的是MySQL，数据库连接工具用的是Navicat，编程语言采用的是Python 2.7，下面是记录一个完整的练习过程。

建表

创建一张用户表

CREATE TABLE `user` (
  `id` int(10) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) DEFAULT NULL,
  `realname` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=11 DEFAULT CHARSET=utf8;

插入数据

insert into user (`username`, `realname`) values ('zhangsan1', '张三1');
insert into user (`username`, `realname`) values ('zhangsan2', '张三2');
insert into user (`username`, `realname`) values ('zhangsan3', '张三3');
insert into user (`username`, `realname`) values ('zhangsan4', '张三4');
insert into user (`username`, `realname`) values ('zhangsan5', '张三5');
insert into user (`username`, `realname`) values ('zhangsan6', '张三6');
insert into user (`username`, `realname`) values ('zhangsan7', '张三7');
insert into user (`username`, `realname`) values ('zhangsan8', '张三8');
insert into user (`username`, `realname`) values ('zhangsan9', '张三9');
insert into user (`username`, `realname`) values ('zhangsan10', '张三10');

Navicat查看数据

# 查询语句
select * from user;

# 显示结果
1   zhangsan1   张三1
2   zhangsan2   张三2
3   zhangsan3   张三3
4   zhangsan4   张三4
5   zhangsan5   张三5
6   zhangsan6   张三6
7   zhangsan7   张三7
8   zhangsan8   张三8
9   zhangsan9   张三9
10  zhangsan10  张三10

Python查看数据

# 安装依赖库
pip install torndb mysqlclient==1.3.7

# 创建代码文件prepare.py
import torndb

conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')
result = conn.query('select * from user')

for i in result:
    print(i)


# 运行代码
python prepare.py

# 显示结果
{'username': u'zhangsan1', 'id': 1L, 'realname': u'\u5f20\u4e091'}
{'username': u'zhangsan2', 'id': 2L, 'realname': u'\u5f20\u4e092'}
{'username': u'zhangsan3', 'id': 3L, 'realname': u'\u5f20\u4e093'}
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}
{'username': u'zhangsan5', 'id': 5L, 'realname': u'\u5f20\u4e095'}
{'username': u'zhangsan6', 'id': 6L, 'realname': u'\u5f20\u4e096'}
{'username': u'zhangsan7', 'id': 7L, 'realname': u'\u5f20\u4e097'}
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
{'username': u'zhangsan9', 'id': 9L, 'realname': u'\u5f20\u4e099'}
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}

注入

常规查询

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('10')

# sql语句拼接
# _sql相当于 'select * from user where id=10'
_sql = 'select * from user where id=' + user_id

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)



# 显示结果
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}

关键字(or)注入

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('10 or True')

# sql语句拼接
# _sql相当于 'select * from user where id=10 or True'
_sql = 'select * from user where id=' + user_id

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)


# 显示结果
{'username': u'zhangsan1', 'id': 1L, 'realname': u'\u5f20\u4e091'}
{'username': u'zhangsan2', 'id': 2L, 'realname': u'\u5f20\u4e092'}
{'username': u'zhangsan3', 'id': 3L, 'realname': u'\u5f20\u4e093'}
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}
{'username': u'zhangsan5', 'id': 5L, 'realname': u'\u5f20\u4e095'}
{'username': u'zhangsan6', 'id': 6L, 'realname': u'\u5f20\u4e096'}
{'username': u'zhangsan7', 'id': 7L, 'realname': u'\u5f20\u4e097'}
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
{'username': u'zhangsan9', 'id': 9L, 'realname': u'\u5f20\u4e099'}
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}

SQL语句的where条件只要你的语法没问题，那么它背后的机制是支持三种东西：True、False、表达式。 or关键字跟编程语言中的机制是一样的，不管其他表达式是否成立，只要or关键字后面的表达式是True那么整个where条件都是成立的。

布尔(True)
select * from user where True; # 返回所有结果

布尔(False)
select * from user where False; # 返回空结果

表达式(1=1)
select * from user where 1=1; # 返回所有结果

表达式(id=8)
select * from user where id=8; # 返回一条结果

表达式(id=8 or True) / (id=8 or 1=1)
select * from user where id=8 or 1=1; # 返回所有结果

特殊字符(=)注入

正常查询

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
username = get_argument('zhangsan4')
realname = get_argument('张三4')

# sql语句拼接
# _sql相当于 'select * from user where username="zhangsan4" and realname="张三4"'
_sql = 'select * from user where username="' + username + '" and realname="' + realname + '"'

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)

# 显示结果
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}

注入查询

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
username = get_argument('"or ""="')
realname = get_argument('"or ""="')

# sql语句拼接
# _sql相当于 'select * from user where username=""or ""="" and realname=""or ""=""'
_sql = 'select * from user where username="' + username + '" and realname="' + realname + '"'

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)


# 显示结果
{'username': u'zhangsan1', 'id': 1L, 'realname': u'\u5f20\u4e091'}
{'username': u'zhangsan2', 'id': 2L, 'realname': u'\u5f20\u4e092'}
{'username': u'zhangsan3', 'id': 3L, 'realname': u'\u5f20\u4e093'}
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}
{'username': u'zhangsan5', 'id': 5L, 'realname': u'\u5f20\u4e095'}
{'username': u'zhangsan6', 'id': 6L, 'realname': u'\u5f20\u4e096'}
{'username': u'zhangsan7', 'id': 7L, 'realname': u'\u5f20\u4e097'}
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
{'username': u'zhangsan9', 'id': 9L, 'realname': u'\u5f20\u4e099'}
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}

特殊字符(;)注入

在sql语句执行环境中，每条sql都用分号来区分，大部分数据库都支持多条语句一起执行，只要用分号隔开即可；那么通过利用分号也可以做其他危险动作或执行其他查询。

查询两条数据
select * from user where id=8; select * from user where id=4;

执行危险语句(删除掉用户表)
select * from user where id=8; drop table user;

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('8; drop table user;')

# sql语句拼接
# _sql相当于 'select * from user where id=8; drop table user;'
_sql = 'select * from user where id=' + user_id

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)

# 显示结果
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}

执行完这块代码之后，虽然数据时正常显示了，但是表也被删除了。。。。。。(只能再次建表插入数据，才能往下走了)。

使用SQL参数(SQL Parameters)来规避注入

规避or关键字

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('8 or 1=1')

# sql语句拼接
_sql = 'select * from user where id=%s'

# 执行查询并取得结果集
result = conn.query(_sql, *[user_id, ])

# 打印结果
for i in result:
    print(i)

# 显示结果
C:\Python27\lib\site-packages\torndb.py:234: Warning: Truncated incorrect DOUBLE value: '8 or 1=1'
  return cursor.execute(query, kwparameters or parameters)

{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}

规避分号(;)关键字

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('8;drop table user;')

# sql语句拼接
_sql = 'select * from user where id=%s'

# 执行查询并取得结果集
result = conn.query(_sql, *[user_id, ])

# 打印结果
for i in result:
    print(i)

# 显示结果
C:\Python27\lib\site-packages\torndb.py:234: Warning: Truncated incorrect DOUBLE value: '8;drop table user;'
  return cursor.execute(query, kwparameters or parameters)

{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}

规避等号(=)特殊字符

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
username = get_argument('" or "1"="1')
realname = get_argument('" or "1"="1')


# sql语句拼接
_sql = 'select * from user where username="%s" and realname="%s"'

# 执行查询并取得结果集
result = conn.query(_sql, *[username, realname])

# 打印结果
for i in result:
    print(i)

# 显示结果
没有任何结果

追溯源码

# torndb.py 
Class Connection:
    def query(self, query, *parameters, **kwparameters):
        self._execute(cursor, query, parameters, kwparameters)
        
        
    def _execute(self, cursor, query, parameters, kwparameters):
        cursor.execute(query, kwparameters or parameters)
        

# MySQLdb/cursors.py
class BaseCursor(object):
    def execute(self, query, args=None):
        # 将sql语句进行encode转码
        
        # 执行sql语句(虚执行)
        res = self._query(query)
        
    def _query(self, q):
        # 执行sql语句(虚执行)
        return self._do_query(q)
        
    def _do_query(self, q):
        # 执行sql语句(交给C语言接口去查询)
        db.query(q)
        
        # 异步返回结果
        self._do_get_result()

参考

• [x] SQL Injection