SQL注入的一个简单实例

很多Web应用程序都使用数据库来存储信息。SQL命令就是前端Web和后端数据库之间的接口，使得数据可以传递至Web应用程序。很多Web站点都会利用用户输入的参数动态地生成SQL查询要求，攻击者通过在URL、表单域，或者其他的输入域中输入自己的SQL命令，以此改变查询属性，骗过应用程序，从而可以对数据进行不受限的访问。

以JSP+SQL Server环境为例，对于一个正常的登录表单，输入正确的账号和密码之后，JSP程序会查询数据库：如果存在此用户并且密码正确，将会成功登录；如果用户不存在或者密码不正确，则会提示账号或密码错误。

然而当输入用户名: ‘or 1=1–，密码为空时，却发现可以正常登录，显然数据库中不存在这样一个用户。

实际上，登录处最终调用代码如下：

public boolean findAdmin(Admin admin)
{
String sql = "select count(*) from admin where username='" + admin.getUsername() + "'and password='" + admin.getPassword() + "'"  //SQL查询语句
try {
Resultset res = this.conn.creatStatement().executQuery(sql);
//执行sql语句
if(res.next())
{
int i = res.getInt(1);//获取第一列的值
if (i>0)
{return true;} //如果结果大于0，则返回true
}
} catch (Exception e) {
e.printStackTree();//打印异常信息
}
return false;
}

上面程序段的意义很清楚：在数据库中查询

username=xxx and password=xxx

的结果个数。如果结果个数大于0，表示存在这样的用户，返回true，代表登录成功，否则返回false，代表登录失败。

这段代码本身没有什么错误。正常情况下，当一个用户

username='test'

且

password='test'

时，执行了sql语句

select count(*) from admin where username = 'test' and password = 'test'

但是当输入

username="'or 1=1--"

时，在java程序中String类型变量sql 为

" select count(*) from admin where username = '  'or 1=1-- ' and password = ' '  "

这句sql语句在执行时，

"--"

将

"and"

及之后的语句都注释掉了，相当于执行了

select count(*) from admin where username = '  'or 1=1

而

1=1

是永远为true的，所以该语句的执行结果实际上是admin表的行数，而不是符合输入的username和password的行数，从而顺利通过验证。

这个例子中虽然注入的过程非常简单，但可能的危害却很大。如果在用户名处输入

"' or 1=1; drop table admin --"

由于SQL Server支持多语句执行，就可以把admin表drop掉了，后果不堪设想。