测试 SQL 注入的正确方法

Question

您好，我正在开发一个网站并进行一些渗透测试。它是用 CakePHP 构建的，这让我意识到：

如果你使用 CakePHP 已经保护你免受 SQL 注入 CakePHP 的 ORM 方法（例如 find() 和 save()）和适当的数组 表示法（即。array('field' => $value)）而不是原始 SQL。

但是我不确定要在我的输入表单字段中输入哪些数据以测试 SQL 注入预防。

我有以下带有简单 VARCHAR 属性的表名 -

 categories: name
 clients: address, county, country, name
 items: name
 statuses: name

将这个 SQL 语句输入到表单并提交是测试 SQL 注入尝试的正确方法吗？

DROP TABLE "categories";

在表单上提交后，进入数据库的值为：

DROP TABLE "categories"; 

我是否可以假设这意味着该网站已被保护免受 SQL 注入尝试，因为它没有删除我数据库中的类别表？

Answer 1

当您的代码未使用参数化查询时发生 SQL 注入攻击。How can I test my web site for SQL injection attacks? 中的 SQL 注入工具。

Answer 2

好问题，但答案太多，无法作为答案。我建议进行一些搜索并阅读许多出现的网站以了解更多信息。

这里有很好的工具列表：http://www.darknet.org.uk/tag/sql-injection-tool/

Answer 3

请记住，几乎所有自动 sql 注入扫描工具都只能找到最简单的漏洞形式，而错过了该问题的大多数实际实例。

受过良好教育和经验丰富的人类攻击者/测试者总是会做得更好，并且会发现大量工具无法解决的 sqli 问题。

但是... SQL 注入是最容易修复的 webapp 漏洞之一。因此，如果您可以访问源代码，只需阅读它并确保它正确使用绑定参数或存储过程，并且永远不要通过将字符串附加在一起来构建 SQL 命令。如果你看到类似

sql = 'select col from table where x=' + variable

然后警钟应该响起。 阅读和调整源代码几乎肯定会比尝试执行需要多年经验才能掌握的那种测试更快、更容易、更有效。

见https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet