SQL 注入（SQL Injection）是一种安全漏洞，攻击者可以利用这个漏洞在应用程序的数据库查询中插入或“注入”恶意的 SQL 代码。以下是一些 SQL 注入的示例，这些示例展示了攻击者可能如何构造恶意输入来利用应用程序的漏洞。

示例 1: 基于错误的 SQL 注入

假设有一个登录表单，它使用以下 SQL 语句来验证用户名和密码：

SELECT * FROM users WHERE username = '' AND password = ''

如果攻击者在用户名字段中输入 ' OR '1'='1（并在密码字段中可能输入任意值或留空），则 SQL 语句将变为：

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = ''

由于 '1'='1' 总是为真，这个查询将返回所有用户的数据，从而绕过身份验证。

示例 2: 布尔型 SQL 注入

在布尔型 SQL 注入中，攻击者通过修改输入来观察应用程序的响应（通常是“是”或“否”的响应），从而推断出数据库中的信息。

假设有一个搜索功能，它使用以下 SQL 语句：

SELECT * FROM products WHERE name LIKE '%input%'

如果攻击者在输入字段中输入 '%' OR '1'='1，则 SQL 语句将变为：

SELECT * FROM products WHERE name LIKE '%%' OR '1'='1'

由于 '1'='1' 总是为真，这个查询将返回所有产品，即使它们的名称与输入不匹配。攻击者可以通过观察应用程序是否返回了更多结果来推断出 '1'='1' 部分的真实性，进而可能利用这一点来进一步探索数据库。

示例 3: 时间延迟 SQL 注入

在某些情况下，攻击者可能希望利用时间延迟来检测 SQL 注入漏洞的存在。这通常是通过在 SQL 语句中插入一个会导致数据库延迟响应的函数来实现的。

假设有一个查询用户信息的页面，它使用以下 SQL 语句：

SELECT * FROM users WHERE id = ?

如果攻击者在 ID 字段中输入 1; WAITFOR DELAY '0:0:5'--（注意 SQL 注释 -- 用于忽略原始查询的剩余部分），则 SQL 语句将变为：

SELECT * FROM users WHERE id = 1; WAITFOR DELAY '0:0:5'--

这将导致数据库在执行查询后等待 5 秒钟才返回结果。如果应用程序在输入该 ID 后确实延迟了 5 秒钟才响应，那么攻击者就可以推断出存在 SQL 注入漏洞。

防御措施

• 使用参数化查询：这是防止 SQL 注入的最有效方法。
• 限制数据库权限：确保应用程序使用的数据库账户只具有执行必要操作所需的最低权限。
• 输入验证：对所有用户输入进行严格的验证，拒绝包含潜在恶意内容的输入。
• 使用 ORM（对象关系映射）工具：许多 ORM 工具都内置了防止 SQL 注入的机制。
• 错误处理：避免在错误消息中泄露数据库结构或敏感信息。
• 定期安全审计：对应用程序进行定期的安全审计，以发现和修复潜在的 SQL 注入漏洞。