什么是SQL注入？它有危险吗？

如果有一件事是网络犯罪分子喜欢的，那就是数据。被盗数据在非法市场上具有很高的价值，对私人数据库的访问可以成为恶意行为者从其企业中获利的好方法。通过SQL注入方式可以访问私人数据。但是，什么是SQL注入，它是如何工作的，这种攻击可以预防吗？

 

什么是SQL注入？

软件程序依赖于代码才能正常运行。代码也是机器进行操作的语言，可以采用许多形式（Python、JavaScript、C++等）。正是通过代码，网络犯罪分子可以对受害者发动攻击，而SQL注入（SQLi）也不例外。这允许恶意行为者“注入”有害代码到一个SQL语句中。

首先，我们来看一下SQL的含义。

SQL代表结构化查询语言。这是一种专门用于处理数据库的编程语言。SQL由IBM于20世纪70年代开发，可以操作、存储和检索数据库信息。世界上许多数据库通信系统都使用SQL，因此威胁行为者已经想出了滥用它的方法来攻击数据库。

SQL语句是数据库通信的重要组成部分。SQL语句是一种命令，有许多不同的形式。有些修改数据，有些检索或删除数据，有些可以更改数据库本身的结构。当发生SQL注入时，恶意代码被注入到SQL语句中。

当然，要进行SQL注入攻击，网站或应用程序需要使用SQL编程语言。但是这种攻击向量是如何工作的呢？

假设您有一个应用程序使用的常规代码行。当网络犯罪分子插入恶意SQL注入时，添加了一行代码，可以干扰应用程序本身发送到其数据库的查询。通过这样做，可以以允许威胁行为者查看他们正常情况下无法访问的数据的方式来利用数据库。

从这里开始，网络犯罪分子可能会窃取数据以直接利用它或在暗网或其他地方出售。他们还可以修改、添加或删除目标数据库中的数据。根据SQL注入攻击的程度，可能会造成很大的损失。如果访问了付款详细信息、社会安全号码或其他类型的私人数据，许多人可能面临被利用的风险。

另一方面，如果攻击者设法显着更改数据库，大量数据可能会永久丢失。总的来说，SQL注入可以通过一次攻击摧毁整个数据库。尽管它们自1998年以来就存在，但它们在我们当前的时代仍然是相关且危险的。

根据开放Web应用程序安全项目（OWASP）的研究，2021年在对应用程序进行SQL注入攻击测试时发现了27.4万个实例。

SQL注入的类型

SQL注入有几种不同的类型，主要有盲注、同位注和带外注。

盲注（或推测性注入）是指应用程序或网站遭到注入攻击，但HTTP（超文本传输协议）响应并不包含SQL查询的结果。换句话说，没有提供来自被攻击数据库的数据给网络犯罪分子。那么这有什么意义呢？

使用盲注SQL注入，攻击者向目标服务器发送数据，然后通过HTTP响应本身的特性来确定关于数据库的某些信息。除此之外，与HTTP响应相关的因素可以帮助攻击者创建另一个更有效的SQL注入来访问数据库。

盲SQL注入有两种主要类型，称为基于时间和布尔的注入。这两种变体在性质上非常相似。布尔和基于时间的SQL注入都发送一系列是或否的答案问题，尽管后者需要数据库在对查询作出响应之前等待一段时间。

接下来，有内联SQL注入。内联SQL注入允许运算符通过同一通道进行攻击并获得期望的结果。内联SQL注入是最常用的，仅仅因为它们最容易进行，因为它们只需要一个通道。

最后，还有带外SQL注入。这实际上是内联SQL注入的另一种版本，其中攻击者无法使用单个通道完全进行攻击。或者，如果目标服务器无法提供结果，则攻击可能需要采取带外SQL注入的方式。

这些因素使得这个过程变得有些困难，这意味着它必须依赖于目标数据库上有一些功能是激活的才能成功。例如，被攻击的平台必须缺乏输入验证。因此，与内联SQL注入相比，带外SQL注入要少得多。但它们仍然会发生。

如何预防SQL注入？

对于企业和组织而言，SQL注入更多的是一个关注点，而不是普通个人。但是，这些潜在目标可以采取一些措施来降低受到这种攻击的可能性。

输入验证是避免SQL注入的关键常规实践。这是一个过滤过程，用于扫描和清理危险字符的输入。如果在进行输入验证之前处理SQL代码，SQL注入的可能性自然会增加。

此外，参数化查询可以帮助您避免SQL注入。这些查询要求至少一个参数进行执行。应用参数使得对网络犯罪分子来说成功进行SQL注入攻击变得更加困难。

但是没有绝对的方法可以预防SQL注入。与许多网络攻击一样，完全确保设备和系统没有任何漏洞几乎是不可能的。对于SQL注入来说，您能做的最好的就是对所有输入进行验证并建立参数查询。

SQL注入虽然有二十多年的历史了，但它仍然对许多网站和应用程序构成威胁。因此，及时了解并采取必要措施来防范这种攻击是个明智之举，因为它可能会对您的数据库构成威胁。