SQL注入的测试方法

简介

Web应用程序的数据存储与读取通过数据库完成，而这些读写的操作通过SQL语句实现。实际项目中可能因为开发人员的疏忽或经验问题，未对用户可输入的参数进行严格地校验，导致用户可能恶意地将SQL命令带入数据库执行，实现注入的目的。

SQL注入的条件

• 参数中含有SQL语句，并可以带入数据库正常执行
• Web应用程序和数据库的交互中，必须有参数加入请求传递至数据库

SQL注入的方法

1. 搜索型参数

判断是否存在SQL注入漏洞，需满足以下四步：

http://127.0.0.1/sql.php?Parameter=James    #正常查询数据
http://127.0.0.1/sql.php?Parameter=James'   #页面异常或查询数据为空
http://127.0.0.1/sql.php?Parameter=James%'and'%'='  #正常查询数据
http://127.0.0.1/sql.php?Parameter=James%'and'a%'='b    #查询数据为空或提示列表为空

2.数字型参数

判断是否存在SQL注入漏洞，需满足一下四步：

http://127.0.0.1/sql.php?Parameter=10001    #正常查询数据
http://127.0.0.1/sql.php?Parameter=10001'   #页面异常或查询数据为空
http://127.0.0.1/sql.php?Parameter=10001 and 1=1    #正常查询数据
http://127.0.0.1/sql.php?Parameter=10001 and 1=2    #查询数据为空或提示列表为空

3.字符型参数

判断是否存在SQL注入漏洞，需满足一下四步：

http://127.0.0.1/sql.php?Parameter=James    #正常查询数据
http://127.0.0.1/sql.php?Parameter=James'   #页面异常或查询数据为空
http://127.0.0.1/sql.php?Parameter=James' and '1'='1    #正常查询数据
http://127.0.0.1/sql.php?Parameter=James' and '1'='2    #查询数据为空或提示列表为空

后续

此外，一些注入的方法是通过Java+JDBC代码注入(Statement接口改为PreparedStatement接口预防)、MyBatis框架注入（Mapper XML文件’$”拼接改为’#”拼接预防）等实现，因此对于一些对外的Web程序，SQL注入的检查是必须的，否则通过SQL注入的漏洞，外部用户可能获取/修改数据或直接获得管理员权限，这对生产环境来说都是致命的。