什么是代码注入，如何防御？

代码注入是一种常见的网络安全漏洞，指攻击者通过将恶意代码插入到应用程序的输入字段、参数或其他可输入的位置，使得这些恶意代码能够在目标应用程序的环境中被执行。简单来说，就像是有人在合法的程序代码中偷偷塞进了自己的 “坏代码”，让程序在不知情的情况下执行这些有害的指令。

攻击原理

1.寻找注入点：攻击者首先要寻找目标应用程序中可以输入数据的地方，如 Web 表单、URL 参数、数据库查询接口等。例如，一个简单的用户登录表单，攻击者可能会尝试在用户名或密码输入框中注入代码。

2.利用漏洞注入代码：如果目标应用程序没有对输入数据进行严格的过滤和验证，攻击者就可以构造恶意代码并将其输入。这些恶意代码通常是按照目标应用程序的编程语言和运行环境来编写的。比如，在一个基于 PHP 的 Web 应用中，攻击者可能会注入一段 PHP 代码。

3.代码执行：当带有恶意代码的输入被应用程序处理时，如果应用程序的运行环境能够识别并执行这些恶意代码，攻击就成功了。例如，恶意代码可能会修改数据库中的数据、窃取敏感信息或者控制整个服务器。

常见类型

SQL 注入

这是最常见的代码注入类型之一，主要针对与数据库交互的应用程序。当应用程序使用用户输入的数据来构建 SQL 查询语句，并且没有对输入进行正确的过滤时，攻击者就可以注入 SQL 代码。

例如，一个简单的登录查询可能是这样的：SELECT * FROM users WHERE username = ‘$user’ AND password = ‘$pass’。如果攻击者在$user或$pass变量中注入 SQL 代码，如’ OR ‘1’=‘1，那么查询语句就会变成SELECT * FROM users WHERE username = “ OR ‘1’=‘1’ AND password = “，这样就可能绕过登录验证，因为’1’=‘1’这个条件总是成立的。

OS 命令注入

当应用程序允许用户输入的数据被用来执行操作系统命令，且没有对输入进行充分过滤时，就可能发生 OS 命令注入。这种攻击可以让攻击者在目标服务器的操作系统上执行任意命令。

例如，一个应用程序有一个功能是允许用户通过 Web 界面输入文件名来查看文件内容，其内部可能是通过执行类似cat $filename的命令（在 Linux 系统下）。如果攻击者注入; rm -rf /，那么完整的命令就会变成cat ; rm -rf /，这可能会导致服务器上的所有文件被删除，造成严重的后果。

代码注入（如 PHP、Java 等编程语言）

在 Web 应用中，如果应用程序对用户输入的内容直接当作代码片段进行处理，就可能发生编程语言级别的代码注入。

以 PHP 为例，假设一个应用程序中有一个功能是动态包含文件，代码可能是include($_GET[‘page’]);。如果攻击者在page参数中注入evil.php（假设evil.php包含恶意代码），那么应用程序就会包含并执行这个恶意文件。在 Java 中，如果一个应用程序使用eval()函数来处理用户输入的字符串作为 Java 代码，也可能会被注入恶意代码。