mysql注入

说明

• 语言python
• 代码基于 tornado框架
• 数据库是用Navicat操作的
• 引入python操作SQL的模块 pymysql

代码展示

服务端代码：

#！/usr/bin/env python#！ -*- coding:utf-8 -*-
import tornado.ioloop
import tornado.web
import pymysql


class MainHandler(tornado.web.RequestHandler):
    def get(self, *args, **kwargs):
        self.render("login.html")

    def post(self, *args, **kwargs):
        name = self.get_argument("user")
        pwd = self.get_argument("pwd")

        conn = pymysql.connect(host='127.0.0.1', port=3306, user='root', passwd='', db='day39')
        cursor = conn.cursor()
        temp = "select name from login where name='%s' and password='%s'" % (name, pwd)
        cursor.execute(temp)
        ret = cursor.fetchone()

        conn.commit()
        cursor.close()
        conn.close()
        if ret:
            self.write("登陆成功")
        else:
            self.write("登陆失败")

settings = {
    "template_path": "views",
    "static_path": "static",
}

application = tornado.web.Application([
    (r"/login", MainHandler),
], **settings)

if __name__ == "__main__":
    application.listen(8000)
    tornado.ioloop.IOLoop.instance().start()

客户端代码：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="/login" method="post">
    <input type="text" name="user">
    <input type="text" name="pwd">
    <input type="submit" value="提交">
</form>
</body>
</html>

数据库：

Paste_Image.png

分析：
上面的代码在检测用户登陆的时候，只是用了用户名去检测的，只是在数据库中筛选的时候，对密码加了判断。

Paste_Image.png

注入测试

因为主要用的是name，where后面的只是判断；分析：如果我们能将where后面密码判断让其无效的话，那么只要用户名对了，不也可以登陆吗？
我们试着输入：

Paste_Image.png

结果：

Paste_Image.png

很是奇特！
我们看看服务端我们获取的temp组合完之后，是个什么样的结果：

Paste_Image.png

分析：
在SQL中 " -- " ;表示是注释。

Paste_Image.png

当我们输入一个单引号" ' "的时候;它会让前面的name闭合，然后 " -- "形成单独的字符，传入数据库的时候，数据库会解析字符，遇到" -- "便会将后面的内容注释。
此时的结果相当于之判断了name，密码根本没用。

换个思路，where是一个判断，如果我让其前面的name判断的也失效的话，即，这个where对名字的限制不起作用。那么这段SQL语句的效果就变成：

select name from login

即：只要数据库对应的表里面有name数据，则就能获取数据，结果就为 true。
结果永远登陆成功！

验证上面的分析：

Paste_Image.png

结果：

fu'wu'duan

服务端获取的temp：

Paste_Image.png

说明：
密码判断配注释，前面的那么，判断的时候，应为有 or ；or的意思，它前后判断条件有一个为true，结果就为true。

---

总结：
字符串的拼接，在很多语言里面都有这样的情况。

解决上面代码的注入问题

python的pymysql模块，内处理了这样的问题，在pymysql中要求我们在输入SQL语句的时候不要提出来使用占位符的方式(即 % 方式)，拼接数据。
而是直接输入 excute 后面的括号。
修改服务端代码：

Paste_Image.png

说明：
这里用的图片展示服务端代码修改的地方；其他地方都没变化。

再次测试：
我们在输入之前的代码，结果：

Paste_Image.png

看看代码报错！

Paste_Image.png

语法报错；并将我们输入的" ' "；进行了处理。

这样，只有正确的输入才能登陆。其他输入都会报错！