SQL注入攻击以及防护

在学习、面试过程中，多次接触过SQL注入攻击，今天我们就来好好总结一下吧。

SQL注入攻击是黑客对数据库进行攻击的常用手段之一。SQL注入攻击是指提交一段数据库代码，根据程序返回的结果获得某些他想得知的数据中，或者是删除数据库中重要数据以此来达到破坏数据库的目的。相关的SQL注入可以通过测试工具pangolin进行。

对于如何进行注入，我们可以举一个简单的例子，比如查询某一个东西，存在select * from admin where username='XXX' and password='YYY' ，此时如果用户名文本框内输入：abc'' or 1=1-- 在密码框内输入：123 则SQL语句变成：select * from admin where username='abc''' or 1=1 --and password='123’ 不管用户输入任何用户名与密码，此语句永远都能正确执行，用户轻易骗过系统，获取合法身份。

对于sql注入，我们应该懂得如何预防。

1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和
双"-"进行转换等，要在客户端和服务端都进行相关的检测。
2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。如果数据库是SQL Server，就可以用有名字的参数了，格式是“@”字符加上参数。
4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息，比如对用户名和密码进行加密，这样子用户输入的信息就对数据库没有任何意义了。
5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装，避免黑客利用错误知道数据库的名字，表名等。
6.sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，如大名鼎鼎的Acunetix的Web漏洞扫描程序等。