​

​ 所谓SQL注入式攻击，就是输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。

下面我们来举一个简单的列子:

​ ⑴ 某个Web应用有一个登录页面，这个登录页面控制着用户是否有权访问应用，它要求用户输入一个名称和密码。

​ ⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令，或者直接用作存储过程的参数。下面是应用构造查询的一个例子：

sql = "select 1 from tb_user 
	   where username='%s' and userpass = '%s'" % (uid, pwd)

​ ⑶ 攻击者在用户名字和密码输入框中输入”‘或’1’=’1”之类的内容，例如a’ or ‘1’=’1。

​ ⑷ 用户输入的内容提交给服务器之后，服务器运行上面的代码构造出查询用户的SQL命令，但由于攻击者输入的内容非常特殊，所以最后得到的SQL命令变成(假设知道用户名为admin)：

"select 1 from tb_user 
where username='admin' and userpass = ''  or  '1'='1'"

​ ⑸ 服务器执行查询或存储过程，将用户输入的身份信息和服务器中保存的身份信息进行对比。

​ ⑹ 由于SQL命令实际上已被注入式攻击修改，已经不能真正验证用户身份，所以系统会错误地授权给攻击者。

如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询，他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能，欺骗系统授予访问权限。

模拟登录代码:

SQL语句:

create table tb_user(
username varchar(20) not null,
userpass varchar(20) not null,
primary key (username)
);
insert into tb_user values ('admin', '123456');

python3

import pymysql

def main():
    
    # 打开数据库连接
    connect = pymysql.Connect(host='localhost',  port=3306,  user='root',
                              passwd='root',db='HRS',charset='utf8')
    try:
        uid = input('请输入用户名: ')
        pwd = input('请输入密码: ')
        # 如果使用字符串格式化的方式来组装sql语句
        # 这种情况有被sql注射攻击的风险
        # 注射攻击的万能密码: a' or '1'='1
        with connect.cursor() as cursor:
            sql = "select 1 from tb_user where username='%s' \
                   and userpass = '%s'" % (uid, pwd)
            # execute() 返回值为受影响的行数
            if cursor.execute(sql)>0:
                print('登录成功')
            else:
                print('用户名或密码错误')
    finally:
        connect.close()

if __name__ == '__main__':
    main()

运行结果

请输入用户名: admin
请输入密码: a' or '1'='1
登录成功