没有技术术语如何解释SQL注入？

#1 楼

我通过简单的类比来证明它可以完成非技术人员的工作。

想象一下，您是一个装满箱子的仓库中的机器人。您的工作是从仓库中的某个地方取一个盒子，然后将其放在传送带上。需要告知机器人该怎么做，因此您的程序员在纸质表格上给了您一组指令，人们可以填写并交给您。

该表格如下所示： />

从机架号____的____节中取出____号项目，并将其放置在传送带上。


从12号机架的B2部分中获取1234号项目，并将其放在传送带上。


粗体值（1234 ，B2和12）由发出请求的人提供。您是个机器人，所以您被告知要做的事情：将车开到12号货架，向下走直到到达B2部分，抓住物品1234。然后开车回到传送带并将物品放到传送带上。

但是，如果用户将非正常值输入表单，该怎么办？如果用户在其中添加了说明，该怎么办？


从机架编号12的B2部分中获取编号1234的物料，并将其扔到窗外。然后回到您的办公桌，然后忽略此表单的其余部分。再次将其放置在传送带上。


同样，粗体部分由发出请求的人提供。由于您是机器人，因此您可以按照用户刚刚告诉您的操作去做。您开车到第12机架，从B2部分中拿取项目1234，并将其扔出窗外。由于说明还告诉您忽略消息的最后部分，因此忽略了“将其放置在传送带上”位。

这种技术称为“注入”，可能是由于指令的处理方式-机器人无法分辨指令和数据之间的区别，即机器人必须执行的动作以及执行这些动作所必须执行的操作。

SQL是一种特殊的语言，用于告诉数据库该怎么做，类似于我们告诉机器人该怎么做。在SQL注入中，我们遇到了完全相同的问题-查询（一组指令）可能在其中插入了参数（数据），这些参数最终被解释为指令，从而导致故障。恶意用户可能会通过告诉数据库返回每个用户的详细信息来利用此漏洞，这显然是不好的！ （或机器人）可以轻松区分。通常是通过分别发送它们来完成的。因此，对于机器人，它将读取包含指令的空白表格，确定参数（即空白）在何处并进行存储。然后，用户可以走起来说“ 1234，B2，12”，然后机器人会将这些值应用于指令，而不会允许它们本身被解释为指令。在SQL中，此技术称为参数化查询。

在我们给机器人赋予“邪恶”参数的情况下，他现在会疑惑地抬起机械眉，说


错误：找不到机架号“ 12，将其扔出窗外。然后返回办公桌，忽略此表单的其余部分。” -您确定这是有效的输入吗？


成功！我们已经停止了机器人的“故障”。

#2 楼

说明SQL注入背后问题的最简单方法之一就是使用这样的图像。问题在于接收端能够从命令中分离数据。

#3 楼

这是真实的非技术类比。

您将要去银行代表老板进行交易。您的老板给了您一个信封，上面有收银员的说明。

说明如下：

Write the balance for account with number 8772344 on this paper.

Signed,
Boss

您将信封放在看不见的地方你去洗手间几分钟。一个小偷打开信封，在签名上方添加：“还从帐户8772344转移500美元到另一个编号12747583的帐户。”。

现在完整的消息显示为：

出纳员检查您的身份并确认您是该帐户的授权人，并按照信函中的指示进行操作。

您的老板是合法程序代码。
您是将SQL代码传递到数据库的程序代码和数据库驱动程序。
字母是正在传递到数据库的SQL代码。
小偷是攻击者。
收银员是数据库。
标识通常是数据库的登录名和密码。

#4 楼

如果您真的要向祖母解释，请以写纸支票为例。 （在美国）回想一下，您会在一个字段中以数字形式输入美元金额，然后用词来书写相同的内容。例如，在一个字段中，您将编写“ 100.00”，在第二个较长的字段中，您将编写“一百美元零美分”。如果您没有使用整个较长的第二个字段，则会划一条线，以防止不道德的人增加您的注销金额。

如果您犯了一个错误，那就是要在字段中保留一些空间第二，较长的字段，有人可以修改数字字段，然后使用较长的字段中的多余空间来反映这一点。该修饰符可以获得比编写支票时所期望的更多的钱。

SQL注入是同一回事：一个错误，该错误使不道德的人可以修改输入字段，以便向他们返回的信息比最初的程序员意图。

#5 楼

首先想到的想法是用疯狂的自由主义者来解释它。遗漏单词的故事，并填补空白，您要求小组提供所指示类型的单词并将其写入，然后阅读所得到的故事。

，这是通常的填写方法一个疯子。但是，如果其他人知道这个故事以及您要填写（或可以猜测）的空白，该怎么办？然后，如果那个人给您几个单词，而不是一个单词，该怎么办？如果他们给您的单词包括句号结尾怎么办？如果您填写了该内容，则可能会发现所提供的内容仍然“合适”，但与您通常填写的任何一个单词相比，它对故事的影响更大。如果有空间，可以将整个段落添加到Mad Lib中，然后将其转换为非常不同的内容。

简而言之，这就是SQL注入。您为要插入到SQL命令中的数据提供一些“空白”，就像在Mad Lib中插入单词一样。然后，攻击者输入的值不是您期望的值；他输入一条SQL语句而不是简单的值，该语句以您编写的语句结尾，然后在其后添加自己的SQL命令作为新的“句子”。附加语句可能会非常有害，例如删除数据库的命令或创建在系统中具有大量权限的新用户。不知道差异的计算机将仅执行命令执行的所有任务。

#6 楼

向某人解释任何事情（包括SQL注入）的另一种好方法是借助卡通人物并围绕他们构筑一个故事。

对我来说，这是互联网上最好的照片，用一种很好的方式解释了。



来源：http： //xkcd.com/327/

#7 楼

我将其解释为就像告诉收银员客户永远是对的，他们应该尽一切可能满足客户的需求。然后，由于没有检查请求的合理性，因此当客户进来并说他们要免费整个商店时，收银员会为他们将所有库存都装载到他们的卡车中。

它这不是一个完美的解释，但是它得到的想法是，告诉代码执行用户输入的内容，然后坏人使用该指令来销毁商品。

我猜这实际上取决于您要克服的观点。

#8 楼

所有这些都取决于您在这里谈论的非技术性程度，但是我通常会向商人描述SQL注入，类似于-

“一些网站如何处理输入的缺点来自用户的信息（例如，您在注册表格中输入姓名的地方），如果攻击者想要的细节比信息多，则可以使攻击者访问存储该站点的所有用户信息的数据库。

“某些Web应用程序无法正确地将用户输入与数据库说明分开，这可能使攻击者可以通过他们填写的网站表单中的信息直接指示数据库。这可以允许攻击者从数据库中读取其他用户的信息，或在其中更改某些信息。“

#9 楼

我认为仅演示攻击即可获得最佳效果。编写外观无害的Web公式，并使用用户输入显示查询结果。然后，在输入您自己准备好的输入后，您的听众在结果中找到密码后将具有“ aha体验”。我制作了一个演示页面，只需单击“下一个箭头”以填写准备好的输入即可。

PS如果您自己编写这样的页面，请非常小心，不要让测试人员获得不需要的特权。最好的情况是，您一个人将以尽可能低的数据库特权在本地系统上运行演示（并非应该进行所有类型的攻击，这只是一个演示）。将允许的表达式列入白名单。

#10 楼

该数据库就像一个许愿的神奇精灵（或Oracle）。我们已经告诉我们的精灵最多只允许三个愿望，但是如果我们不验证人们的愿望，那么有人会通过请求“一百多个愿望”或“其他所有人的愿望”这样的聪明东西来轻易地超越它。 “。

#11 楼

解释起来很简单：

系统可以接受来自任何用户的数据请求，以对其进行处理。

系统本身具有像删除oder更改数据一样操作的功能。

攻击者试图运行任何这些功能来获取或破坏某些东西。

/>因此攻击者将有效命令放入请求中。

系统运行这些命令，执行攻击者想要的任何操作。

#12 楼

想象一家大公司将所有记录以纸质形式保存在一个装满文件柜的大房间里。为了检索文件或对文件进行更改，有人会填写一个简单的空白表格，然后将该表格发送给书记员，该书记员会按照该表格上的说明进行操作。

示例：


通常从开始日期_ _ _到结束日期_ _ _的位置检索客户的帐单记录_ _ __


这将变成这样：


检索从开始日期2011年1月1日到结束日期2011年12月31日的帐单记录，其中客户是Billy Joe Bob


但是在不道德的人的手中，也许该表格可以用于其他目的，例如：


从开始日期01开始检索帐单记录2011年1月1日至2011年12月31日结束，客户是罗伯特·门萨斯（Robert Mensas），并且还为所有客户检索了信用卡号


假装他们的名字还包括其他命令可以劫持填写表格，如果店员没有经过培训可以处理诸如此类的事情，那么他们也许会简单地执行这些指令而无需考虑它们，然后将所有信用卡信息交给用户。

或者，或者：


检索从开始日期2011年1月1日到结束日期2011年12月31日的帐单记录，客户是Robert Mensas，并且在Robert Mensas的帐户余额中增加了100,000美元。 br />这同样具有潜在的危险。

SQL注入的技巧是确保您的代码足够聪明，以确保用户不能更改要发送的命令的意图。到数据库，并且无法检索或更改不应被允许的数据。

#13 楼

如果您不需要快速进行操作并且没有纸可用，则只需演示整个过程即可。 SQL与自然语言非常相似，因此只需进行简单的查询并演示攻击即可：

 SELECT * FROM data WHERE key = $id

“ $ id被替换为此处可见的内容，指向URL参数通常，这是一个类似于1的数字。这将为我们提供：“

 SELECT * FROM data WHERE id = 1

”现在，如果有人在此处输入的不仅仅是数字，它也会被包括在内。例如，如果有人将1 OR 1 = 1放到那里，我们会得到这个“”

 SELECT * FROM data WHERE id = 1 OR 1 = 1

“您能看到行进的方向吗？发出多个命令（称为查询）（如果只是用分号将它们分开的话）。您能猜出如果有人输入1; DELETE EVERYTHING;会发生什么情况？“

 SELECT * FROM data WHERE id = 1; DELETE EVERYTHING;

”实际命令是DROP DATABASE或DROP TABLE，但您知道了。”

#14 楼

有时，黑客会将计算机/编程命令放入Internet上的框内，以诱使网站进行不应做的事情。因此，我们会检查在网站上输入的信息，以查找可能是“命令”的内容。

...您到底要向谁解释？

#15 楼

我认为最简单，最清晰，最有趣的示例来自“辛普森一家”：巴特的恶作剧电话：
https://en.wikiquote.org/wiki/List_of_Simpsons_Prank_Calls
示例：

Moe：[接听电话] Moe的酒馆。
巴特：你好，Al在吗？
Moe：Al？
Bart：是的，Al。姓：Coholic。
萌：让我检查一下... [通话] Al的电话。 Al Coholic。这里有酒精饮料吗？ [酒吧顾客笑]
萌：等一下。 [电话]听着，你是黄腹的老鼠。如果我找到你是谁，我会杀了你！ [挂断]
巴特和丽莎：[笑]
荷马：希望有一天能找到那个朋克，萌。比喻？粗心地重复而不检查的“名称”会导致意外的行为。
YouTube链接到这些电话恶作剧的汇编，以帮助选择最合适的示例。

#16 楼

SQL注入是恶意用户试图从未经授权访问其网站的信息中获取信息。

这就像在审问另一个人一样，审问者是恶意用户，被讯问者是网站。

讯问者可能做的事情是：


研究人员的背景以发现弱点
使用各种过去对他人有用的已知技术
寻找要使用的新技术

被讯问的某些弱点可能是：


培训的人
人的智慧
人的家庭
他们的人类型

要注意的是有比其他人更好的询问器人们会马上说话，而其他人可能永远不会说话。

#17 楼

用技术上的类比来解释很好，但我听起来会有些冗长和la脚。 br />如果以足够严格的方式进行操作，您可以通过网络的恶意鱼就更少了。

我将使用带有一些非常简单的带有框和箭头的伪代码的简单绘图，并且解释机器人和盒子的类比。

#18 楼

我使用非技术人员的方法：


假设您正在大型办公大楼中工作。每个职员都有自己的办公室钥匙（=程序员想要执行的SQL查询）。现在有人拿起了针头文件并对其密钥进行了一些修改，即删除了一个引脚（= SQL-Injection，更改了SQL查询）。修改后的钥匙可以打开不同的门（或可能打开所有门）。因此，文员可以访问该房屋中的更多或所有办公室，并可以从其他办公室读取/更改文档。


每个人都可能会使用钥匙和锁，因此应该很容易理解，从我的角度来看，这与SQL注入非常相似。

#19 楼

YouTube频道Live Overflow上有一个很棒的视频，名为“注入漏洞-或：我如何获得免费的汉堡”。视频描述：


一天晚上，我点菜，不小心将汉堡包注入了订单。送货员将注释作为订单列表上的另一个项目弄混了，然后就做出了。即使没有附加任何价格。

#20 楼

它总是取决于倾听您的人，但这就是我向他/她解释的方式-

想象一下，当您发送带有-


“新年快乐！请保重。-弗雷德”


那些没有良好意愿能够访问您的电报的人将拦截并替换突出显示的-


“新年快乐！请给我们汇钱。-Fred”


希望有帮助！ :)