QL注入攻擊（SQL Injection），簡稱注入攻擊，是Web開發(fā)中最常見的一種安全漏洞。可以用它來從數(shù)據(jù)庫獲取敏感信息，或者利用數(shù)據(jù)庫的特性執(zhí)行添加用戶，導出文件等一系列惡意操作，甚至有可能獲取數(shù)據(jù)庫乃至系統(tǒng)用戶最高權(quán)限。

而造成SQL注入的原因是因為程序沒有有效過濾用戶的輸入，使攻擊者成功的向服務器提交惡意的SQL查詢代碼，程序在接收后錯誤的將攻擊者的輸入作為查詢語句的一部分執(zhí)行，導致原始的查詢邏輯被改變，額外的執(zhí)行了攻擊者精心構(gòu)造的惡意代碼。

SQL注入實例

很多Web開發(fā)者沒有意識到SQL查詢是可以被篡改的，從而把SQL查詢當作可信任的命令。殊不知，SQL查詢是可以繞開訪問控制，從而繞過身份驗證和權(quán)限檢查的。更有甚者，有可能通過SQL查詢?nèi)ミ\行主機系統(tǒng)級的命令。

下面將通過一些真實的例子來詳細講解SQL注入的方式。

考慮以下簡單的登錄表單：

<form action="/login" method="POST"> <p>Username: <input type="text" name="username" /></p> <p>Password: <input type="password" name="password" /></p> <p><input type="submit" value="登陸" /></p> </form>

我們的處理里面的SQL可能是這樣的：

username:=r.Form.Get("username") password:=r.Form.Get("password") sql:="SELECT * FROM user WHERE username='"+username+"' AND password='"+password+"'"

如果用戶的輸入的用戶名如下，密碼任意

myuser' or 'foo' = 'foo' --

那么我們的SQL變成了如下所示：

SELECT * FROM user WHERE username='myuser' or 'foo'=='foo' --'' AND password='xxx'

在SQL里面--是注釋標記，所以查詢語句會在此中斷。這就讓攻擊者在不知道任何合法用戶名和密碼的情況下成功登錄了。

對于MSSQL還有更加危險的一種SQL注入，就是控制系統(tǒng)，下面這個可怕的例子將演示如何在某些版本的MSSQL數(shù)據(jù)庫上執(zhí)行系統(tǒng)命令。

sql:="SELECT * FROM products WHERE name LIKE '%"+prod+"%'" Db.Exec(sql)

如果攻擊提交a%' exec master..xp_cmdshell 'net user test testpass /ADD' --作為變量 prod的值，那么sql將會變成

sql:="SELECT * FROM products WHERE name LIKE '%a%' exec master..xp_cmdshell 'net user test testpass /ADD'--%'"

MSSQL服務器會執(zhí)行這條SQL語句，包括它后面那個用于向系統(tǒng)添加新用戶的命令。如果這個程序是以sa運行而 MSSQLSERVER服務又有足夠的權(quán)限的話，攻擊者就可以獲得一個系統(tǒng)帳號來訪問主機了。

雖然以上的例子是針對某一特定的數(shù)據(jù)庫系統(tǒng)的，但是這并不代表不能對其它數(shù)據(jù)庫系統(tǒng)實施類似的攻擊。針對這種安全漏洞，只要使用不同方法，各種數(shù)據(jù)庫都有可能遭殃。

如何預防SQL注入

也許你會說攻擊者要知道數(shù)據(jù)庫結(jié)構(gòu)的信息才能實施SQL注入攻擊。確實如此，但沒人能保證攻擊者一定拿不到這些信息，一旦他們拿到了，數(shù)據(jù)庫就存在泄露的危險。如果你在用開放源代碼的軟件包來訪問數(shù)據(jù)庫，比如論壇程序，攻擊者就很容易得到相關(guān)的代碼。如果這些代碼設(shè)計不良的話，風險就更大了。目前Discuz、phpwind、phpcms等這些流行的開源程序都有被SQL注入攻擊的先例。

這些攻擊總是發(fā)生在安全性不高的代碼上。所以，永遠不要信任外界輸入的數(shù)據(jù)，特別是來自于用戶的數(shù)據(jù)，包括選擇框、表單隱藏域和 cookie。就如上面的第一個例子那樣，就算是正常的查詢也有可能造成災難。

SQL注入攻擊的危害這么大，那么該如何來防治呢?下面這些建議或許對防治SQL注入有一定的幫助。

嚴格限制Web應用的數(shù)據(jù)庫的操作權(quán)限，給此用戶提供僅僅能夠滿足其工作的最低權(quán)限，從而最大限度的減少注入攻擊對數(shù)據(jù)庫的危害。

檢查輸入的數(shù)據(jù)是否具有所期望的數(shù)據(jù)格式，嚴格限制變量的類型，例如使用regexp包進行一些匹配處理，或者使用strconv包對字符串轉(zhuǎn)化成其他基本類型的數(shù)據(jù)進行判斷。

對進入數(shù)據(jù)庫的特殊字符（'"\尖括號&*;等）進行轉(zhuǎn)義處理，或編碼轉(zhuǎn)換。Go 的text/template包里面的HTMLEscapeString函數(shù)可以對字符串進行轉(zhuǎn)義處理。

所有的查詢語句建議使用數(shù)據(jù)庫提供的參數(shù)化查詢接口，參數(shù)化的語句使用參數(shù)而不是將用戶輸入變量嵌入到SQL語句中，即不要直接拼接SQL語句。例如使用database/sql里面的查詢函數(shù)Prepare和Query，或者Exec(query string, args ...interface{})。

在應用發(fā)布之前建議使用專業(yè)的SQL注入檢測工具進行檢測，以及時修補被發(fā)現(xiàn)的SQL注入漏洞。網(wǎng)上有很多這方面的開源工具，例如sqlmap、SQLninja等。

避免網(wǎng)站打印出SQL錯誤信息，比如類型錯誤、字段不匹配等，把代碼里的SQL語句暴露出來，以防止攻擊者利用這些錯誤信息進行SQL注入。

總結(jié)

以上是生活随笔為你收集整理的golang避免SQL注入的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。