什么是sql注入？

既然你会来看这篇文章，说明你和写这篇文章时的我一样，是个安全小白。不管你是以何种原因想要了解“什么是sql注入”，我都希望这篇文章尽可能地会给你一点收获。

两个通俗的概念

SQL 注入就是指 web应用程序对用户输入的数据合法性没有过滤或者是判断，前端传入的参数是攻击者可以控制，并且参数带入数据库的查询，攻击者可以通过构造恶意的 sql语句来实现 对数据库的任 意操作。

又或者说

通过把sql命令插入到Web表单提交或输入域名或页面请求的查询字符串中，最终欺骗服务器执行恶意的SQL命令

如果你有有一些开发的基础知识，会很容易地理解SQL注入地概念，笼统地说，当你动态地请求服务器器时，会有数据交互的过程。上图是PHP链接MySQL的源码，可以再任意SQL注入靶场中查看。总的来说，SQL注入就是可控变量，被带入数据库查询了。（2021.9.30加）

当你浏览一些网页，它们大都会提供一个查询的功能，比如你打开一个视频网站，你可以通过搜索“xxxx”，来获得你想要的视频。这期间大概发生了这样一些事：你按下回车键，一个带有你输入的关键字的HTTP请求发送到服务器，业务逻辑层的Web服务器通过脚本引擎解析你的请求，动态地构造sql语句，并请求DBMS，执行SQL语句。DBMS返回SQL执行结果给Web Server，Web Server将页面封装成HTML格式响应给浏览器，浏览器解析HTML，将内容呈现给你。
要看懂上面这段话，你得需要一点计网、数据库和中间件的知识。现在，你只需要把不懂的知识封装成一个黑盒子，这个黑盒子提供了一些需要的功能。

那么，sql注入，就是发生在动态构造SQL语句，并将执行结果返回Web Server的这个过程。因为没有对用户输入的数据进行过滤，把恶意构造的参数带入了DBMS进行查询，实现第数据库的恶意操作。

SQL注入是怎么发生的？

如果你读懂了上面的话，你会说，哦，这就是SQL注入啊。当转念一想，你还是发现自己不懂“什么是SQL注入”。接下来，你可能需要一点数据库的知识，特别是MySQL。

MySQL有一个系统库 information_schema，存储着所有的数据库的相关信息。
可以利用该库进行一次完整的注入。以下为一般流程：
猜数据库：
select schema_name frominformation_schemata
select database()
猜某库的数据表 select table_name from information_schema.tables where table_schema=‘xxxx’
猜某表的所有列 select column_name from information_schema.columns where table_name=‘xxxxx’
获取某列的内容
select **** from *****

开始我们的SQL注入:
你最好在自己下载的数据库里尝试。
假设有一张学生表，你想查询名字为张三的学生，你会这样写：

select * from student where name = '张三'; 

也许在前端界面，你只是输入了一个“张三“，浏览器获取你的输入存在一个变量$input里，将这个变量传给脚本引擎，脚本引擎不做任何处理，直接将你的输入值动态地构造一条SQL语句，比如：

$sql = "select * from student where name = 'input'";
$result = mysql_query($sql);

上面这句代码是PHP语言对数据库的操作，不懂为什么可以这样？可以学一下ODBC或JDBC，现在，它只是个黑盒子。通过mysql_query()这个函数，$sql变量的语句被传入MySQL数据库进行执行。一切都那么完美。但是，如果你输入的是

张三'    //仅仅多了一个单引号

那么上面的语句就会变为

$sql = "select * from student where name = '张三''";

相当于在数据库进行了如下查询：

select * from student where name = '张三'';

你输入的单引号，闭合了前面原语句的单引号，后面的单引号就多出来了，此时报错。
那这有什么用呢？这太有用了。因为你可以闭合前面的子句，后面就可以拼接一切你自己构造的合法语句，并在最后加一个“ --+” 以注释后面复杂的内容，比如

select * from student where name = '张三' union select 1,2,x,x --+

这下来，你可能真的懂得了“什么是SQL注入”