SQL注入是指攻击者通过在Web应用的输入参数中插入恶意SQL代码片段,欺骗后端数据库执行非预期的操作,进而获取敏感数据、篡改数据甚至控制服务器的安全漏洞。这类漏洞多出现在未对用户输入做严格过滤的动态SQL拼接场景中,是OWASP Top 10长期收录的高危漏洞类型。

SQL注入漏洞的手动检查思路
在启动自动化扫描前,先了解手动检查逻辑有助于理解工具的工作原理,也能在工具漏报时补充验证。
1. 识别可能存在注入的输入点
常见的注入输入点包括URL参数、表单输入框、Cookie值、HTTP请求头字段等,只要这些参数会被后端直接拼接进SQL语句,就存在注入可能。比如常见的商品详情页URL product.php?id=1 中的id参数就是典型的可测试点。
2. 构造测试 payload 验证
可以通过构造特殊的输入内容判断是否存在注入,常见的测试方式如下:
- 输入单引号
',如果页面返回数据库报错信息,大概率存在字符型注入 - 输入
1 and 1=1和1 and 1=2,如果前者返回正常内容,后者返回异常或空内容,可能存在数字型注入 - 输入
admin' or '1'='1这类万能密码 payload,如果登录成功则存在注入
3. 手动注入的简单示例
假设后端查询语句为 SELECT * FROM users WHERE username = '$input',攻击者输入 admin' -- ,拼接后的SQL会变成 SELECT * FROM users WHERE username = 'admin' -- ',后面的单引号和查询条件会被注释掉,直接返回admin用户的所有数据。
利用自动化工具进行SQL注入扫描
手动检查效率低且容易漏报,实际安全测试中通常会使用成熟的自动化工具完成批量扫描,以下是两款常用工具的使用方法。
SQLMap 工具使用
SQLMap是最流行的开源SQL注入检测工具,支持多种数据库类型和注入检测方式,基础使用步骤如下:
首先确认已经安装Python环境,然后下载SQLMap源码,执行以下命令检测目标URL是否存在注入:
# 检测指定URL的GET参数是否存在注入 python sqlmap.py -u "http://ipipp.com/product.php?id=1" --batch # 如果需要携带Cookie访问,添加--cookie参数 python sqlmap.py -u "http://ipipp.com/user.php" --cookie "session=abc123" --batch
如果检测到存在注入,还可以进一步执行以下操作获取数据库信息:
# 获取所有数据库名称 python sqlmap.py -u "http://ipipp.com/product.php?id=1" --dbs --batch # 获取指定数据库的表名 python sqlmap.py -u "http://ipipp.com/product.php?id=1" -D test_db --tables --batch # 获取指定表的数据 python sqlmap.py -u "http://ipipp.com/product.php?id=1" -D test_db -T users --dump --batch
AWVS 工具使用
AWVS是商业化的Web漏洞扫描工具,支持可视化操作,适合非命令行熟练的用户使用,操作流程如下:
- 打开AWVS控制台,点击新建扫描任务
- 在目标地址栏输入要扫描的站点URL,比如
http://ipipp.com - 选择扫描配置,勾选SQL注入相关的检测选项,也可以直接使用默认的全面扫描配置
- 启动扫描后,工具会自动爬取站点所有页面,对输入点进行注入测试
- 扫描完成后,在漏洞报告中查看SQL注入相关的风险条目,每个条目会标注漏洞位置、危害等级和验证payload
自动化扫描的注意事项
使用自动化工具扫描时需要注意以下几点,避免对目标系统造成不必要的影响:
- 扫描前必须获得目标系统的合法授权,未经允许的扫描属于违法行为
- 扫描测试环境优先选择,不要直接对生产环境进行高强度的扫描,避免造成服务不可用
- 自动化工具存在漏报和误报可能,扫描结果需要人工二次验证,确认漏洞真实存在后再处理
- 扫描过程中注意控制请求频率,避免触发目标系统的WAF拦截规则
SQL注入漏洞的修复建议
检测到SQL注入漏洞后,需要从代码层面进行修复,核心原则是避免用户输入直接拼接进SQL语句:
- 使用参数化查询(预编译语句),比如Java中使用
PreparedStatement,PHP中使用PDO的预处理功能 - 对用户输入做严格的类型校验,比如数字型参数直接转为整数类型,过滤掉非数字字符
- 对特殊字符做转义处理,比如使用数据库提供的转义函数处理单引号、双引号等特殊字符
- 遵循最小权限原则,数据库账号不要使用root等最高权限账号,避免注入后造成更大范围的破坏
以下是使用预编译语句修复注入的简单代码示例,以PHP为例:
<?php
// 错误写法:直接拼接用户输入
$id = $_GET['id'];
$sql = "SELECT * FROM products WHERE id = $id"; // 存在注入风险
// 正确写法:使用PDO预编译
$pdo = new PDO("mysql:host=127.0.0.1;dbname=test", "user", "pass");
$stmt = $pdo->prepare("SELECT * FROM products WHERE id = ?");
$stmt->execute([$_GET['id']]);
$result = $stmt->fetchAll();
?>