SQL注入是一种注入攻击手段,通过执行恶意SQL语句,进而将任意SQL代码插入数据库查询,从而使攻击者完全控制Web应用程序后台的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序验证,比如绕过登录验证登录Web身份验证和授权页面;也可以绕过网页,直接检索数据库的所有内容;还可以恶意修改、删除和增加数据库内容。
我们采取了第二条思路和方法,即不用动态拼接SQL语句的方法,而是使用参数化查询,即变量绑定。
下面给出SQL注入攻击安全漏洞代码——拼接SQL语句:
//数据库/* Navicat Premium Data Transfer Source Server : localhost_3306 Source Server Type : MySQL Source Server Version : 50553 Source Host : localhost:3306 Source Schema : test Target Server Type : MySQL Target Server Version : 50553 File Encoding : 65001 Date: 28/02/2020 10:48:06*/SET NAMES utf8mb4;SET FOREIGN_KEY_CHECKS = 0;-- ------------------------------ Table structure for userinfo-- ----------------------------DROP TABLE IF EXISTS `userinfo`;CREATE TABLE `userinfo` ( `uid` int(10) NOT NULL AUTO_INCREMENT, `username` varchar(64) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL, `password` varchar(64) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL, PRIMARY KEY (`uid`) USING BTREE) ENGINE = MyISAM AUTO_INCREMENT = 14 CHARACTER SET = latin1 COLLATE = latin1_swedish_ci ROW_FORMAT = Dynamic;-- ------------------------------ Records of userinfo-- ----------------------------INSERT INTO `userinfo` VALUES (2, 'aaa', 'hh');INSERT INTO `userinfo` VALUES (4, 'ast', 'dddd');SET FOREIGN_KEY_CHECKS = 1;
//test.gopackage mainimport ( "database/sql" "fmt" _ "github.com/go-sql-driver/mysql" "html/template" "log" "net/http" "strings")func login(w http.ResponseWriter, r *http.Request) { fmt.Println("method:", r.Method) //获取请求的方法 if r.Method == "GET" { t, _ := template.ParseFiles("D:/Golang/GoItem/go_ex/goSql/test.html") t.Execute(w, nil) } else { //请求的是查询数据,那么执行查询的逻辑判断 r.ParseForm() fmt.Println("username:", r.Form["username"]) var sename = strings.Join(r.Form["username"], "") var partname = strings.Join(r.Form["password"], "") db, err := sql.Open("mysql", "root:123456@/test?charset=utf8") infoErr(err) if sename != "" && partname != "" { var uid int var username string var password string //字符串拼接查询 err := db.QueryRow("SELECT * FROM userinfo WHERE username ='"+sename+"'AND password ='"+partname+"'"). Scan(&uid, &username, &password) infoErr(err) //判断返回的数据是否为空 if err == sql.ErrNoRows { fmt.Fprintf(w, "无该用户数据") } else { if (sename == username) && (partname == password) { fmt.Println(uid) fmt.Println(username) fmt.Println(password) t, _ := template.ParseFiles("D:/Golang/GoItem/go_ex/goSql/success.html") t.Execute(w, nil) } } } else if sename == "" || partname == "" { fmt.Fprintf(w, "错误,输入不能为空!") } }}func infoErr(err error) { if err != nil { panic(err) }}func main() { http.HandleFunc("/login",login) //设置访问的路由 //设置访问的路由 err := http.ListenAndServe(":9092", nil) //设置监听的端口 if err != nil { log.Fatal("ListenAndServe: ", err) }}
//login.html<html><head> <meta charset="utf-8" /> <title>sql防注入</title> <style> form{ width: 30vw; height: 30vh; min-height: 300px; margin: 10vh auto; border: 1px solid; border-radius: 4px; } form .username,.password{ display: block; float: right; } div { width: 300px; height: 80px; margin: 30px auto 0; } input label { float: left; display: inline-block; } input { height: 30px; } .button { width: 100px; margin: auto; clear: both; display: block; } </style></head><body><form action="/login" method="post"> <div> <label>username: </label> <input class="username" type="text" name="username"> </div> <div> <label>password:</label> <input class="password" type="text" name="password"> </div> <input class="button" type="submit" value="查询"></form></body></html>
解决防SQL注入方案——参数化查询:
//test.gopackage mainimport ( "database/sql" "fmt" _ "github.com/go-sql-driver/mysql" "html/template" "log" "net/http" "strings")func login(w http.ResponseWriter, r *http.Request) { fmt.Println("method:", r.Method) //获取请求的方法 if r.Method == "GET" { t, _ := template.ParseFiles("D:/Golang/GoItem/go_ex/goSql/login.html") t.Execute(w, nil) } else { //请求的是查询数据,那么执行查询的逻辑判断 r.ParseForm() fmt.Println("username:", r.Form["username"]) var sename = strings.Join(r.Form["username"], "") var partname = strings.Join(r.Form["password"], "") db, err := sql.Open("mysql", "root:123456@/test?charset=utf8") checkErr(err) if sename != "" && partname != "" { var uid int var username string var password string //参数查询在一定程度上防止sql注入,参数化查询主要做了两件事: //1.参数过滤;2.执行计划重用 //因为执行计划被重用,所以可以防止SQL注入。 err := db.QueryRow("SELECT * FROM userinfo WHERE username = ? AND password = ?", sename, partname). Scan(&uid, &username, &password) //判断返回的数据是否为空 if err == sql.ErrNoRows { fmt.Fprintf(w, "无该用户数据") } else { if (sename == username) && (partname == password) { fmt.Println(uid) fmt.Println(username) fmt.Println(password) t, _ := template.ParseFiles("D:/Golang/GoItem/go_ex/goSQL/success.html") t.Execute(w, nil) } } } else if sename == "" || partname == "" { fmt.Fprintf(w, "错误,输入不能为空!") } }}func checkErr(err error) { if err != nil { panic(err) }}func main() { http.HandleFunc("/login", login) //设置访问的路由 err := http.ListenAndServe(":9090", nil) //设置监听的端口 if err != nil { log.Fatal("ListenAndServe: ", err) }}
执行登录查询的数据库语句:"SELECT * FROM userinfo WHERE username =‘"+sename+"‘AND password =‘"+partname+"‘"
当查询到数据表中存在同时满足 username 和 password 字段时,会返回用户信息。 尝试在用户名中输入 123‘ or 1=1 #, 密码同样输入 123‘ or 1=1 # ,实际执行的SQL语句是select * from users where username=‘123‘ or ‘1‘=‘1‘ and password=‘123‘ or ‘1‘=‘1
则会出现一个空白页面,其实此时SQl注入已经绕过验证进入到需要身份验证的页面。
而如果执行"SELECT * FROM userinfo WHERE username = ? AND password = ?", sename, partname
再次输入123‘ or 1=1 #,则会被拦截下来,显示无该用户数据。
我们需要知道参数化查询都做了些什么事:
1.参数过滤;
2.执行计划重用
它的原理是采用了预编译的方法,先将SQL语句中可被客户端控制的参数集进行编译,生成对应的临时变量集,再使用对应的设置方法,为临时变量集里面的元素进行赋值,而QueryRow()方法会对传入参数进行强制类性检查和安全检查,所以就避免了SQL注入的产生。
QueryRow("SELECT * FROM userinfo WHERE username = ? AND password = ?", sename, partname). Scan(&uid, &username, &password)