SQL 注入攻击原理
SQL 注入是通过将恶意SQL代码插入到输入参数中,欺骗服务器执行非预期SQL命令的攻击方式。攻击者利用应用程序对用户输入数据过滤不严的漏洞,将恶意SQL片段注入到后台数据库引擎执行。
常见的注入类型包括联合查询注入、布尔盲注、时间盲注、报错注入等。攻击者通过构造特殊输入,绕过身份验证、窃取数据、篡改数据或执行系统命令。
常见攻击场景示例
假设登录表单的SQL查询为:
sql
SELECT * FROM users WHERE username='$username' AND password='$password'攻击者输入用户名admin'--,密码任意,实际执行的SQL变为:
sql
SELECT * FROM users WHERE username='admin'--' AND password='xxx'--注释掉后续条件,直接以admin身份登录。
WAF防护部署方案
基础防护策略
部署Web应用防火墙(WAF)过滤恶意请求。配置规则库自动更新机制,及时获取最新攻击特征。启用以下核心防护规则:
- SQL关键字过滤(SELECT, UNION, INSERT等)
- 特殊字符过滤(单引号、注释符、等号等)
- 输入长度限制
- 异常请求频率限制
Nginx + ModSecurity部署
安装ModSecurity模块:
bash
yum install mod_security mod_security_crs配置nginx.conf:
nginx
load_module modules/ngx_http_modsecurity_module.so;
http {
modsecurity on;
modsecurity_rules_file /etc/nginx/modsec/main.conf;
}云WAF服务配置
阿里云/腾讯云等云WAF可直接接入:
- 将域名CNAME解析到WAF提供的地址
- 控制台配置防护策略
- 开启CC防护、SQL注入防护等模块
- 设置自定义规则拦截特定攻击模式
应用层防护措施
采用参数化查询(Prepared Statements)替代动态SQL拼接。Java示例:
java
String sql = "SELECT * FROM users WHERE username=? AND password=?";
PreparedStatement stmt = conn.prepareStatement(sql);
stmt.setString(1, username);
stmt.setString(2, password);输入验证实施白名单机制,仅允许预期字符集。对敏感操作实施二次验证,关键接口添加随机Token防护。
监控与应急响应
部署日志分析系统实时监控异常请求,特征包括:
- 高频相似错误请求
- 含有SQL关键字的URI
- 非常规User-Agent
- 异常地理位置的访问
建立安全事件响应流程,发现注入攻击时立即阻断IP并排查数据泄露情况。定期进行渗透测试验证防护有效性。