sql注入例子

傷城~ 2022-04-11 04:30 251阅读 0赞

很多Web应用程序都使用数据库来存储信息。SQL命令就是前端Web和后端数据库之间的接口，使得数据可以传递至Web应用程序。很多Web站点都会利用用户输入的参数动态地生成SQL查询要求，攻击者通过在URL、表单域，或者其他的输入域中输入自己的SQL命令，以此改变查询属性，骗过应用程序，从而可以对数据进行不受限的访问。

以JSP+SQL Server环境为例，对于一个正常的登录表单，输入正确的账号和密码之后，JSP程序会查询数据库：如果存在此用户并且密码正确，将会成功登录；如果用户不存在或者密码不正确，则会提示账号或密码错误。

然而当输入用户名: ‘or 1=1–，密码为空时，却发现可以正常登录，显然数据库中不存在这样一个用户。

实际上，登录处最终调用代码如下：

public boolean findAdmin(Admin admin)
        {
        String sql = "select count(*) from admin where username='" + admin.getUsername() + "'and password='" + admin.getPassword() + "'"  //SQL查询语句
        try {
            Resultset res = this.conn.creatStatement().executQuery(sql);
            //执行sql语句
            if(res.next())
            {
                int i = res.getInt(1);//获取第一列的值
                if (i>0)
                {return true;} //如果结果大于0，则返回true
            }
            } catch (Exception e) {
            e.printStackTree();//打印异常信息
            }
            return false;
        }

上面程序段的意义很清楚：在数据库中查询username=xxx and password=xxx的结果个数。如果结果个数大于0，表示存在这样的用户，返回true，代表登录成功，否则返回false，代表登录失败。

这段代码本身没有什么错误。正常情况下，当一个用户   
username='test'且password='test'时，执行了sql语句   
select count(\*) from admin where username = 'test' and password = 'test'   
但是当输入username="'or 1=1--"时，在java程序中String类型变量sql 为   
" select count(\*) from admin where username = ' 'or 1=1-- ' and password = ' ' "   
这句sql语句在执行时，"--" 将"and"及之后的语句都注释掉了，相当于执行了   
select count(\*) from admin where username = ' 'or 1=1   
而1=1是永远为true的，所以该语句的执行结果实际上是admin表的行数，而不是符合输入的username和password的行数，从而顺利通过验证。   
这个例子中虽然注入的过程非常简单，但可能的危害却很大。如果在用户名处输入   
"' or 1=1; drop table admin --"   
由于SQL Server支持多语句执行，就可以把admin表drop掉了，后果不堪设想。