MySQL 手工注入之常见函数：深度剖析与防范

开篇：揭开手工注入的神秘面纱

在当今数字化时代，数据库宛如一座宝库，存储着各类关键信息。而 MySQL 作为使用广泛的开源数据库管理系统，其安全性至关重要。SQL 注入攻击，尤其是手工注入，始终是悬在数据库安全之上的达摩克利斯之剑。了解 MySQL 手工注入中的常见函数，无论是对渗透测试人员挖掘潜在漏洞，还是对开发人员加固应用程序安全，都具有不可估量的价值。

一、MySQL 手工注入基础概念

（一）什么是 SQL 注入

SQL 注入攻击的本质，是攻击者利用应用程序对用户输入数据验证与过滤的疏漏，巧妙地将恶意 SQL 语句插入到输入字段中。当应用程序将这些输入未经严格处理就直接拼接到 SQL 查询语句中执行时，攻击者就能借此操控数据库，实现诸如查询、修改、删除数据等非预期操作。例如，一个简单的登录验证功能，若代码编写为

SELECT * FROM users WHERE username = '$username' AND password = '$password'

其中 $username 和 $password 直接来自用户输入且未做任何过滤，攻击者就可通过在 $password 输入框中输入类似 ‘ OR ‘1’=’1 的内容，使 SQL 语句变为

SELECT * FROM users WHERE username = '$username' AND password = '' OR '1'='1'，

由于 ‘1’=’1′ 恒成立，从而绕过登录验证。

（二）手工注入的场景与挑战

在某些情况下，自动化 SQL 注入工具（如 SQLmap）可能因各种原因无法使用，比如目标应用程序部署了严格的 WAF（Web 应用防火墙），能有效识别并阻止自动化工具的特征。这时，手工注入便成为攻击者的 “秘密武器”。手工注入要求攻击者精通 SQL 语法以及 MySQL 的各类函数，通过精心构造 SQL 语句，逐步试探和获取数据库中的敏感信息。这一过程不仅需要深厚的技术功底，还需极大的耐心与细心。

二、MySQL 手工注入常见函数深度解析

（一）字符串函数

CONCAT 与 CONCAT_WS 函数

CONCAT 函数：它的核心功能是将多个字符串无缝连接成一个字符串。在注入场景中，当攻击者希望将多个查询结果整合在一个字段中展示，以获取更多信息时，CONCAT 函数就派上了用场。其语法为 CONCAT(str1, str2,…)，这里的 str1、str2 等代表要连接的字符串。例如，假设数据库中有一个 employees 表，包含 first_name 和 last_name 字段，攻击者构造

SELECT CONCAT(first_name,' ', last_name) AS full_name FROM employees;

这样的语句，就能将员工的名和姓连接起来，以 full_name 的形式展示。

CONCAT_WS 函数：CONCAT_WS 中的 “WS” 代表 “With Separator”，即带有分隔符。它在连接字符串时，会在各个字符串之间插入指定的分隔符。语法为 CONCAT_WS(separator, str1, str2,…)，其中 separator 是分隔符。例如

SELECT CONCAT_WS(' - ', 'apple', 'banana', 'cherry'); 会返回 apple - banana - cherry。

在注入中，如果想更清晰地分隔不同字段的查询结果，CONCAT_WS 函数就更为适用。

配图：可以插入一张简单的示意图，用三个文本框分别代表三个字符串，箭头指向一个新的文本框，中间用连接符号表示连接过程，旁边标注 CONCAT 函数及连接后的结果。对于 CONCAT_WS 函数，可在连接符号处特别标注分隔符。

SUBSTRING 与 MID 函数

SUBSTRING 函数：主要用于截取字符串的特定部分。在注入攻击中，当攻击者需要逐字符获取敏感信息，如密码或关键数据时，它是不可或缺的工具。语法为

SUBSTRING(str, pos, len)

，str 是要截取的原始字符串，pos 是起始位置，len 是截取的长度。例如，若要获取 password 字段中第一个字符

可构造 SELECT SUBSTRING(password, 1, 1) FROM users WHERE id = 1。

MID 函数：MID 函数与 SUBSTRING 函数功能几乎完全相同，语法为 MID(str, pos, len)。

例如，SELECT MID('Hello World', 7, 5); 会返回 World。

在手工注入中，二者可根据攻击者的习惯和具体场景选择使用。

配图：展示一张字符串的图片，用线条清晰地标出起始位置和截取长度，对应到 SUBSTRING 或 MID 函数的参数，形象地展示截取过程。

LEFT 与 RIGHT 函数

LEFT 函数：从字符串的左侧开始截取指定长度的字符。语法为 LEFT(str, len)，其中 str 是目标字符串，len 是要截取的字符数。

例如，SELECT LEFT('MySQL Injection', 5); 会返回 MySQL。

在注入场景中，如果已知敏感信息在字符串左侧部分，就可使用 LEFT 函数获取。

RIGHT 函数：与 LEFT 函数相反，它从字符串的右侧开始截取指定长度的字符。语法为 RIGHT(str, len)。例如，SELECT RIGHT(‘Security Tips’, 4); 会返回 Tips。当敏感信息可能在右侧时，RIGHT 函数就发挥作用了。

配图：分别绘制两张图，一张展示从字符串左侧截取的过程，标注 LEFT 函数及参数；另一张展示从右侧截取的过程，标注 RIGHT 函数及参数。

（二）数学函数

ORD 函数

功能与原理：ORD 函数返回字符串第一个字符的 ASCII 码值。在手工注入特别是盲注场景下，它起着关键作用。因为盲注时攻击者无法直接看到查询结果，通过将字符转换为 ASCII 码值，就可以进行比较和判断。例如，假设要判断密码的第一个字符是否为 a，

可构造 SELECT IF(ORD(SUBSTRING(password, 1, 1)) = 97, 1, 0) FROM users WHERE id = 1;，如果返回值为 1，则说明密码第一个字符是 a。这是因为 a 的 ASCII 码值为 97。

配图：插入一张 ASCII 码表的局部图片，特别突出显示 a 对应的 97，并绘制箭头表示 ORD 函数将字符转换为 ASCII 码值的过程。

FLOOR 函数

功能与注入利用：FLOOR 函数返回小于或等于给定数值的最大整数。在特定的注入场景中，结合 GROUP BY 子句和 RAND 函数，会产生有趣的错误信息，攻击者可借此获取数据库信息。例如，

构造 SELECT COUNT(*),FLOOR(RAND(0)*2) AS r FROM information_schema.tables GROUP BY r;

，由于 RAND(0) 会产生固定的随机数序列，在 GROUP BY 操作时会引发错误，通过分析错误信息，攻击者可能获取到数据库表结构等敏感信息。

配图：绘制一个数轴，在数轴上标注出一些数值，以及 FLOOR 函数对这些数值取整后的位置，直观展示其取整功能。同时，展示该函数与 GROUP BY 结合产生错误信息的简单示意流程。

ROUND 函数

功能与应用场景：ROUND 函数用于对数值进行四舍五入操作。语法为 ROUND(X, D)，其中 X 是要处理的数值，D 是保留的小数位数。如果 D 为 0，则对 X 进行四舍五入取整。例如，

SELECT ROUND(3.14159, 2); 会返回 3.14。

在某些注入场景中，如果数据库查询结果涉及数值处理，攻击者可能利用 ROUND 函数对结果进行干扰或分析。

配图：展示一个简单的数学计算过程图片，如对一个小数进行 ROUND 操作，标注出原始数值、保留小数位数以及四舍五入后的结果。

（三）条件判断函数

IF 函数

功能与语法：IF 函数依据条件判断的结果返回不同的值。

语法为 IF(expr1, expr2, expr3)，若 expr1 为真，返回 expr2；否则，返回 expr3。在注入中，常用于盲注场景，根据判断结果返回不同信息，辅助攻击者逐步获取数据库内容。例如，SELECT IF((SELECT COUNT(*) FROM users) > 10, '用户数大于10', '用户数小于等于10');，通过此语句可判断 users 表中的用户数量情况。

配图：绘制一个简单的流程图，展示 IF 函数的条件判断逻辑，即从条件判断开始，根据结果指向不同的返回值分支。

CASE 语句

功能与复杂应用：CASE 语句提供了更灵活、复杂的条件判断机制。它有两种形式：

简单 CASE 语句和搜索 CASE 语句。简单 CASE 语句语法为 CASE value WHEN compare_value1 THEN result1 [WHEN compare_value2 THEN result2...] [ELSE resultn] END，搜索 CASE 语句语法为 CASE WHEN condition1 THEN result1 [WHEN condition2 THEN result2...] [ELSE resultn] END。在注入场景中，当需要进行多条件复杂判断时，CASE 语句就显得尤为重要。例如，CASE WHEN (SELECT user_type FROM users WHERE id = 1) = 'admin' THEN '管理员权限' WHEN (SELECT user_type FROM users WHERE id = 1) = 'user' THEN '普通用户权限' ELSE '其他权限' END，可根据用户类型返回不同的权限描述。

配图：绘制一个详细的流程图，展示 CASE 语句的不同条件判断分支和返回结果，突出其复杂条件判断的功能。

（四）其他常用函数

VERSION 函数

功能与注入价值：VERSION 函数返回当前 MySQL 数据库的版本信息。在注入攻击中，了解数据库版本至关重要，因为不同版本可能存在特定的漏洞和特性。攻击者可通过构造 SELECT VERSION(); 这样的语句获取版本号，进而针对性地利用已知的该版本漏洞。例如，某些旧版本的 MySQL 存在与函数使用相关的安全漏洞，攻击者获取版本后就可尝试利用这些漏洞。

配图：展示一个数据库查询界面，执行 SELECT VERSION(); 语句后，显示出具体的版本号，旁边标注该版本号在攻击中的潜在利用价值。

DATABASE 函数

功能与用途：DATABASE 函数返回当前连接所使用的数据库名称。在注入过程中，攻击者通过获取数据库名称，能进一步了解数据库结构，为后续获取更多敏感信息做准备。例如，构造 SELECT DATABASE(); 语句，可得知当前操作的数据库名，从而确定是否是目标数据库，以及是否存在针对该数据库名的特定攻击方法。

配图：同样展示一个数据库查询界面，执行语句后显示数据库名称，说明该名称在攻击流程中的作用。

三、防范 MySQL 手工注入的全面策略

（一）强化输入验证与过滤

严格的数据类型检查：对于应用程序的输入字段，必须明确其应有的数据类型。例如，对于年龄字段，应只接受数字输入。在 PHP 中，可以使用 is_numeric 函数进行验证，代码如下：

php$age = $_POST['age'];if (!is_numeric($age)) { die('年龄必须为数字');}

白名单过滤：采用白名单机制，只允许特定的字符集输入。比如在用户名输入框，只允许字母、数字和下划线。在 Python 的 Django 框架中，可以使用正则表达式进行白名单过滤，示例代码如下：

pythonimport reusername = request.POST.get('username')if not re.match('^[a-zA-Z0 - 9_]+$', username): raise Http404('用户名只能包含字母、数字和下划线')

（二）正确使用预处理语句

PHP 的 PDO 预处理：在 PHP 中使用 PDO（PHP Data Objects）扩展进行数据库操作时，预处理语句能有效防止 SQL 注入。例如，进行用户登录验证时：

try { $pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password'); $stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username AND password = :password'); $stmt->bindParam(':username', $username, PDO::PARAM_STR); $stmt->bindParam(':password', $password, PDO::PARAM_STR); $stmt->execute(); $result = $stmt->fetch(PDO::FETCH_ASSOC);} catch (PDOException $e) { echo "Error: ". $e->getMessage();}

Java 的 JDBC 预处理：在 Java 中使用 JDBC（Java Database Connectivity）进行数据库操作时，同样可使用预处理语句。例如：

javaimport java.sql.Connection;import java.sql.DriverManager;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.sql.SQLException;


public class Login {    public static void main(String[] args) {        String username = "user";        String password = "pass";        try (Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test", "username", "password");             PreparedStatement pstmt = conn.prepareStatement("SELECT * FROM users WHERE username =? AND password =?")) {            pstmt.setString(1, username);            pstmt.setString(2, password);            ResultSet rs = pstmt.executeQuery();            if (rs.next()) {                System.out.println("登录成功");            } else {                System.out.println("登录失败");            }        } catch (SQLException e) {            e.printStackTrace();        }    }}

（三）遵循最小权限原则

数据库用户权限分配：为数据库用户分配最小权限，避免赋予过高权限。例如，对于一个仅用于查询数据的应用程序账户，只需授予 SELECT 权限，而不应授予 ALL PRIVILEGES。在 MySQL 中，可以使用以下语句创建具有特定权限的用户：

sqlCREATE USER 'app_user'@'localhost' IDENTIFIED BY 'password';GRANT SELECT ON test.* TO 'app_user'@'localhost';FLUSH PRIVILEGES;

定期权限审查：定期审查数据库用户的权限，确保没有权限滥用情况。及时撤销不必要的权限，降低因权限过高导致的安全风险。

（四）其他防范措施

WAF 的部署与配置：Web 应用防火墙（WAF）可以识别和阻止常见的 SQL 注入攻击。选择一款合适的 WAF，如 ModSecurity，并根据实际应用场景进行精细配置，能有效拦截恶意的 SQL 注入请求。

数据库审计与日志分析：开启数据库审计功能，记录数据库的所有操作。通过定期分析日志，能及时发现异常的 SQL 语句，从而追溯和防范 SQL 注入攻击。在 MySQL 中，可以通过配置 log – query – slow 等参数开启慢查询日志，对长时间运行的查询进行分析，查找潜在的注入行为。

四、结语

SQL 手工注入常见函数犹如一把双刃剑，既可能被攻击者利用来突破数据库防线，窃取敏感信息；也能帮助安全人员深入理解数据库安全机制，发现并修复潜在漏洞。通过深入了解这些函数的原理、应用场景以及防范方法，开发人员能够构建更加安全可靠的应用程序，安全从业者能够更好地守护数据库的安全。在不断变化的网络安全环境中，持续学习和掌握相关知识，是我们抵御 SQL 注入攻击、保障数据安全的关键。让我们携手共进，在网络安全的道路上稳步前行，为数字世界的安全保驾护航

想了解更多干货，可通过下方扫码关注