SQL-Injection：是否可以修改 select 的子查询？

Question

是否可以在 SELECT-Query 中使用子查询修改数据库？相关数据库为mysql数据库。

更多细节： 相关查询如下所示：

SELECT * FROM table WHERE id = $x

并且变量 $x 可以替换为任何东西。唯一的限制是，查询是通过 php 的 mysql_query() 执行的，这会阻止执行多个后续查询。在这种情况下，修改数据库很容易，只需设置

$x = "42; DROP TABLE foo;"

Answer 1

编辑：

mysql_query() 仅在 5.0 之前的 MySql 版本中防止多个查询。 MySql 5.0 or later will allow multiple commands separated by ; when using mysql_query().

所以，是的，a SQL Injection attack 能够执行用于连接数据库的登录名有权执行的任何命令。

如果您使用管理员权限进行连接，则攻击基本上可以对您的数据库进行任何可能的修改。

例如，假设您将 $email 值连接到下面的 SQL 字符串：

"SELECT email, passwd, login_id, full_name
  FROM members
 WHERE email = '" + $email + "'"

但是假设 $email 值包含字符串：

        x';INSERT INTO members ('email','passwd','login_id','full_name') 
        VALUES ('steve@unixwiz.net','hello','steve','Steve Friedl');--

你最终得到以下语句：

SELECT email, passwd, login_id, full_name
  FROM members
 WHERE email = 'x';
        INSERT INTO members ('email','passwd','login_id','full_name') 
        VALUES ('steve@unixwiz.net','hello','steve','Steve Friedl');--';

即使您用于连接数据库的登录名不允许修改，SQL 注入攻击也可用于从您的数据库中抓取所有数据...

强烈建议您在客户端应用程序中使用某种形式的参数化查询来保护自己。

Answer 2

可以想象，在SELECT 语句中让子查询修改数据库是可能的。只要使用的 API 允许每个语句进行多个查询，以下示例就可以工作：

考虑injectvar 填充了以下不良数据。它的目的是用于子查询WHERE 子句：

injectvar = "0); DELETE FROM tbl; --"

SELECT a, b
FROM tbl 
WHERE a IN (SELECT DISTINCT c FROM tbl2 WHERE d = injectvar)

结果：

SELECT a, b
FROM tbl 
WHERE a IN (SELECT DISTINCT c FROM tbl2 WHERE d = 0); DELETE FROM tbl; --)

只要可注入代码能形成有效的 SQL 语句，你就有麻烦了。在这种情况下，它需要使用) 关闭子查询，并且攻击者需要了解您的查询结构。盲目地尝试注入攻击会更困难，但如果机器人这样做是完全可能的。

Answer 3

我认为问这种问题没有意义。

那么，如果您对一种特定的注射方法得到否定回答怎么办？
那你认为自己安全吗？如果注射是可能的 - 它是哪一种都没有关系。一个或另一个 - 没关系。阅读的灾难性不亚于写作。