SQL-Injection:可以修改select的子查询吗？

Question

在SELECT-Query中是否可以使用子查询修改数据库？相关数据库为mysql数据库。

更多细节:相关查询如下所示：

SELECT * FROM table WHERE id = $x

变量$x可以替换为任何内容。唯一的限制是，查询是通过php的mysql_query()执行的，这会阻止执行多个后续查询。在这种情况下，修改数据库将很容易，只需设置

$x = "42; DROP TABLE foo;"

Answer 1

编辑：

在早于5.0的MySql版本中，mysql_query()仅阻止多个查询。MySql 5.0 or later will allow multiple commands separated by ; when using mysql_query().

所以，是的，a SQL Injection attack能够执行登录用来连接到数据库的任何命令。

如果您使用管理员权限进行连接，则攻击基本上可以对您的数据库进行任何可能的修改。

例如，假设您将SQL值连接到下面的$email字符串：

"SELECT email, passwd, login_id, full_name
  FROM members
 WHERE email = '" + $email + "'"

但是假设$email值包含以下字符串：

        x';INSERT INTO members ('email','passwd','login_id','full_name') 
        VALUES ('steve@unixwiz.net','hello','steve','Steve Friedl');--

您将以以下语句结束：

SELECT email, passwd, login_id, full_name
  FROM members
 WHERE email = 'x';
        INSERT INTO members ('email','passwd','login_id','full_name') 
        VALUES ('steve@unixwiz.net','hello','steve','Steve Friedl');--';

即使你用来连接数据库的登录名不允许修改，SQL注入攻击也可以用来抓取数据库中的每一点数据……

明确建议您在客户端应用程序中使用某种形式的参数化查询来保护自己。

Answer 2

可以想象，使用子查询在SELECT语句中修改数据库是可能的。只要所使用的API允许每条语句有多个查询，下面的示例就可以工作：

考虑用以下坏数据填充的injectvar。它的用途是用于子查询WHERE子句：

injectvar = "0); DELETE FROM tbl; --"

SELECT a, b
FROM tbl 
WHERE a IN (SELECT DISTINCT c FROM tbl2 WHERE d = injectvar)

结果如下：

SELECT a, b
FROM tbl 
WHERE a IN (SELECT DISTINCT c FROM tbl2 WHERE d = 0); DELETE FROM tbl; --)

只要可注入代码能够形成有效的SQL语句，您就会遇到麻烦。在这种情况下，它需要使用)来结束子查询，并且攻击者需要了解您的查询结构。盲目地尝试注入攻击会更加困难，但如果机器人正在这样做，这是完全可能的。

Answer 3

我看不出问这种问题有什么意义。

那么，如果您得到了关于某一种特定注入方法的否定答案呢？

你觉得你自己很安全吗？如果注入是可能的-无论是哪一个都无关紧要。一种或另一种--无关紧要。阅读的灾难性程度不亚于写作。