SQL注入攻击原理是什么？

Pangolin是目前国内使用率最高的SQL注入测试的安全软件，可以说是网站安全测试人员的必备工具之一

怎么防御SQL注入？

??相信使用SQL Server的朋友都很注意其安全性，本文主要给大家介绍如何堵死SQL Server注入漏洞。什么是SQL注入呢?许多网站程序在编写时，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行，通过正常的www端口访问)，根据程序返回的结果，获得某些想得知的数据，这就是所谓的SQL Injection，即SQL注入。

什么是sql注入？

SQL是Structured Quevy Language(结构化查询语言)的缩写。SQL是专为数据库而建立的操作命令集，是一种功能齐全的数据库语言。在使用它时，只需要发出“做什么”的命令，“怎么做”是不用使用者考虑的。SQL功能强大、简单易学、使用方便，已经成为了数据库操作的基础，并且现在几乎所有的数据库均支持SQL。

##1 二、SQL数据库数据体系结构

SQL数据库的数据体系结构基本上是三级结构，但使用术语与传统关系模型术语不同。在SQL中，关系模式(模式)称为“基本表”(base table)；存储模式(内模式)称为“存储文件”(stored file)；子模式(外模式)称为“视图”(view)；元组称为“行”(row)；属性称为“列”(column)。名称对称如^00100009a^：

##1 三、SQL语言的组成

在正式学习SQL语言之前，首先让我们对SQL语言有一个基本认识，介绍一下SQL语言的组成：

1.一个SQL数据库是表(Table)的集合，它由一个或多个SQL模式定义。

2.一个SQL表由行集构成，一行是列的序列(集合)，每列与行对应一个数据项。

3.一个表或者是一个基本表或者是一个视图。基本表是实际存储在数据库的表，而视图是由若干基本表或其他视图构成的表的定义。

4.一个基本表可以跨一个或多个存储文件，一个存储文件也可存放一个或多个基本表。每个存储文件与外部存储上一个物理文件对应。

5.用户可以用SQL语句对视图和基本表进行查询等操作。在用户角度来看，视图和基本表是一样的，没有区别，都是关系(表格)。

6.SQL用户可以是应用程序，也可以是终端用户。SQL语句可嵌入在宿主语言的程序中使用，宿主语言有FORTRAN，COBOL，PASCAL，PL/I，C和Ada语言等。SQL用户也能作为独立的用户接口，供交互环境下的终端用户使用。

##1 四、对数据库进行操作

SQL包括了所有对数据库的操作，主要是由4个部分组成：

1.数据定义：这一部分又称为“SQL DDL”，定义数据库的逻辑结构，包括定义数据库、基本表、视图和索引4部分。

2.数据操纵：这一部分又称为“SQL DML”，其中包括数据查询和数据更新两大类操作，其中数据更新又包括插入、删除和更新三种操作。

3.数据控制：对用户访问数据的控制有基本表和视图的授权、完整性规则的描述，事务控制语句等。

4.嵌入式SQL语言的使用规定：规定SQL语句在宿主语言的程序中使用的规则。

下面我们将分别介绍：

##2 (一)数据定义

SQL数据定义功能包括定义数据库、基本表、索引和视图。

首先，让我们了解一下SQL所提供的基本数据类型：(如^00100009b^)

1.数据库的建立与删除

(1)建立数据库：数据库是一个包括了多个基本表的数据集，其语句格式为：

CREATE DATABASE 〔其它参数〕

其中，在系统中必须是唯一的，不能重复，不然将导致数据存取失误。〔其它参数〕因具体数据库实现系统不同而异。

例：要建立项目管理数据库(xmmanage)，其语句应为：

CREATE DATABASE xmmanage

(2) 数据库的删除：将数据库及其全部内容从系统中删除。

其语句格式为：DROP DATABASE

例：删除项目管理数据库(xmmanage)，其语句应为：

DROP DATABASE xmmanage

2.基本表的定义及变更

本身独立存在的表称为基本表，在SQL语言中一个关系唯一对应一个基本表。基本表的定义指建立基本关系模式，而变更则是指对数据库中已存在的基本表进行删除与修改

什么叫sql注入，如何防止sql注入

可以使用变量绑定的方式就可以防止sql注入，如果是直接拼接的方式那么就非常容易被注入。比如：select * from tablename where user='admin' and pwd ='123' 假设说这个是一个登录的sql语句，admin是用户文本框输入的，pwd是密码框输入的。如果密码文本框如果输入：' or '1'='1 那么拼接起sql就是select * from tablename where user='admin' and pwd ='' or '1'='1' 那么就会跳过sql的条件就直接进入登录，但是如果是使用绑定变量的就不一样

select * from tablename where user=@user and pwd =@pwd

@user=admin

@pwd=123

这样的话不管user和pwd传入的是什么内容都被sql server识别成字符串而不是直接拼接在sql 语句上。所谓sql注入，就是通过把sql命令插入到web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的sql命令。具体来说，它是利用现有应用程序，将（恶意）的sql命令注入到后台数据库引擎执行的能力，它可以通过在web表单中输入（恶意）sql语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行sql语句。比如先前的很多影视网站泄露vip会员密码大多就是通过web表单递交查询字符暴出的，这类表单特别容易受到sql注入式攻击．

归纳一下，主要有以下几点：

1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和

双"-"进行转换等。

2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。

3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。

5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装

6.sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。mdcsoft scan等。采用mdcsoft-ips可以有效的防御sql注入，xss攻击等。