SQL注入

SQL注入（英語：SQL injection），也稱SQL隱碼或SQL注碼，是發生於應用程式與資料庫層的安全漏洞。簡而言之，是在輸入的字串之中夾帶SQL指令，在設計不良的程式當中忽略了字元檢查，那麼這些夾帶進去的惡意指令就會被資料庫伺服器誤認為是正常的SQL指令而執行，因此遭到破壞或是入侵。^[2]

「SQL注入」的各地常用名稱
中國大陸	SQL注入
臺灣	SQL注入、SQL隱碼、SQL注碼[1]

有部份人認為SQL注入是只針對Microsoft SQL Server，但只要是支援處理SQL指令的資料庫伺服器，都有可能受到此種手法的攻擊。

原因

Xkcd上的一幅漫畫。該學生的姓名為「Robert'); DROP TABLE students;--」，導致students表被刪除。^[3]

在應用程式中若有下列狀況，則可能應用程式正暴露在SQL Injection的高風險情況下：

1. 在應用程式中使用字串聯結方式或聯合查詢方式組合SQL指令。
2. 在應用程式連結資料庫時使用權限過大的帳戶（例如很多開發人員都喜歡用最高權限的系統管理員帳戶（如常見的root，sa等）連接資料庫）。
3. 在資料庫中開放了不必要但權力過大的功能（例如在Microsoft SQL Server資料庫中的xp_cmdshell延伸預存程序或是OLE Automation預存程序等）
4. 太過於信任用戶所輸入的資料，未限制輸入的特殊字元，以及未對用戶輸入的資料做潛在指令的檢查。

作用原理

1. SQL命令可查詢、插入、更新、刪除等，命令的串接。而以分號字元為不同命令的區別。（原本的作用是用於SubQuery或作為查詢、插入、更新、刪除……等的條件式）
2. SQL命令對於傳入的字串參數是用單引號字元所包起來。（但連續2個單引號字元，在SQL資料庫中，則視為字串中的一個單引號字元）
3. SQL命令中，可以夾帶註解（連續2個減號字元 -- 後的文字為註解，或「/*」與「*/」所包起來的文字為註解）
4. 因此，如果在組合SQL的命令字串時，未針對單引號字元作跳脫處理的話，將導致該字元變數在填入命令字串時，被惡意竄改原本的SQL語法的作用。

例子

某個網站的登入驗證的SQL查詢代碼為

strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"

惡意填入

userName = "1' OR '1'='1";

與

passWord = "1' OR '1'='1";

時，將導致原本的SQL字串被填為

strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"

也就是實際上執行的SQL命令會變成下面這樣的

strSQL = "SELECT * FROM users;"

因此達到無帳號密碼，亦可登入網站。所以SQL注入被俗稱為黑客的填空遊戲。

可能造成的傷害

1. 資料表中的資料外洩，例如企業及個人機密資料，帳戶資料，密碼等。
2. 資料結構被黑客探知，得以做進一步攻擊（例如SELECT * FROM sys.tables）。
3. 資料庫伺服器被攻擊，系統管理員帳戶被竄改（例如ALTER LOGIN sa WITH PASSWORD='xxxxxx'）。
4. 取得系統較高權限後，有可能得以在網頁加入惡意連結、惡意代碼以及Phishing等。
5. 經由資料庫伺服器提供的作業系統支援，讓黑客得以修改或控制作業系統（例如xp_cmdshell "net stop iisadmin"可停止伺服器的IIS服務）。
6. 攻擊者利用資料庫提供的各種功能操縱檔案系統，寫入Webshell，最終導致攻擊者攻陷系統
7. 破壞硬碟資料，癱瘓全系統（例如xp_cmdshell "FORMAT C:"）。
8. 取得系統最高權限後，可針對企業內部的任一管理系統做大規模破壞，甚至讓其企業倒閉。
9. 網站首頁被竄改，導致聲譽受到損害。

避免的方法

1. 在設計應用程式時，完全使用參數化查詢（Parameterized Query）來設計資料存取功能。
2. 在組合SQL字串時，先針對所傳入的參數加入其他字元（將單引號字元前加上跳脫字元）。
3. 如果使用PHP開發網頁程式的話，需加入跳脫字元之功能（自動將所有的網頁傳入參數，將單引號字元前加上跳脫字元）。
4. 使用php開發，可寫入html特殊函數，可正確阻擋XSS攻擊。
5. 其他，使用其他更安全的方式連接SQL資料庫。例如已修正過SQL注入問題的資料庫連接元件，例如ASP.NET的SqlDataSource物件或是 LINQ to SQL。
6. 增強網頁應用程式防火牆的防禦力

歷史

有關SQL注入的首次公開討論始於1998年左右。^[4]例如，Phrack Magazine（英語：Phrack Magazine）中的1998年文章。^[5]

參考文獻

1. 國家教育研究院雙語詞彙、學術名詞暨辭書資訊網
2. Microsoft. SQL Injection. [2013-08-04]. （原始內容存檔於2013-08-02）. SQL injection is an attack in which malicious code is inserted into strings that are later passed to an instance of SQL Server for parsing and execution. Any procedure that constructs SQL statements should be reviewed for injection vulnerabilities because SQLi Server will execute all syntactically valid queries that it receives. Even parameterized data can be manipulated by a skilled and determined attacker.
3. 存档副本. [2016-12-16]. （原始內容存檔於2016-12-17）.
4. Sean Michael Kerner. How Was SQL Injection Discovered? The researcher once known as Rain Forrest Puppy explains how he discovered the first SQL injection more than 15 years ago.. November 25, 2013 [2020-05-29]. （原始內容存檔於2014-03-18）.
5. Jeff Forristal (signing as rain.forest.puppy). NT Web Technology Vulnerabilities. Phrack Magazine（英語：Phrack Magazine）. Dec 25, 1998, 8 (54 (article 8)) [2020-05-29]. （原始內容存檔於2014-03-19）.

外部連結

• 賽迪網-儲存程序之外：SQL注入深入防禦（繁體中文）
• MSDN 的SQL資料注入概述（頁面存檔備份，存於互聯網檔案館）（繁體中文）
• MSDN 的 SQL 注入概述（頁面存檔備份，存於互聯網檔案館）（簡體中文）
• Protecting yourself from SQL Injection Attacks（頁面存檔備份，存於互聯網檔案館） by Ross Overstreet（英文）
• "SQLrand: Preventing SQL Injection Attacks（頁面存檔備份，存於互聯網檔案館）" by Stephen W. Boyd and Angelos D. Keromytis（英文）
• "What is SQL Injection?（頁面存檔備份，存於互聯網檔案館）" By CGISecurity.com（英文）
• "What is Blind SQL Injection?（頁面存檔備份，存於互聯網檔案館）" By CGISecurity.com（英文）
• Avoid SQL injection（英文）
• PHP and SQL Injections（英文）
• SQL Injection in Login Forms（頁面存檔備份，存於互聯網檔案館）（英文）
• xkcd上以SQL注入為主題的漫畫（頁面存檔備份，存於互聯網檔案館）（英文）