SQL 注入

輸入使用者名稱與密碼後，介面背後的 SQL 查詢是這樣運作的：

"SELECT Count(*) FROM Users WHERE Username=' " + txt.User.Text+" ' AND Password=' "+ txt.Password.Text+" ' ";

假設使用者輸入了 admin 作為名稱，密碼輸入了 passwd123，按下登入按鈕後，將執行以下的 SQL 查詢：

"SELECT Count(*) FROM Users WHERE Username=' admin ' AND Password=' passwd123 ' ";

如果驗證正確，使用者就可以登入，是個很簡單（所以很不安全）的機制。駭客可以利用不安全性來取得未經授權的存取權。

駭客使用一種稱為 Magical String 的簡單字串，例如：

Username: admin

Password: anything 'or'1'='1

���按下登入按鈕以後，SQL 查詢會這樣運作：

"SELECT Count(*) FROM Users WHERE Username=' admin ' AND Password=' anything 'or'1'='1 ' ";

仔細觀察查詢的密碼部分。

Password=' anything 'or'1'='1 '

密碼不是 anything，因此 password=anything 會回傳 FALSE（錯誤）。但 '1'='1' 是正確的宣告，所以會回傳 TRUE（正確）。最後，透過 OR（或）運算符，FALSE OR TRUE 的比較結果是 TRUE，認證因而成功通過。只要一點簡單的字串（Magical String）整個資料庫就會被洩漏。

在執行使用者的憑證查詢前，先做如下的改變：

$id = $_GET['id']

(1) $id = Stripslashes($id)

(2) $id = mysql_real_escape_String($id)

藉由 (1) 所有輸入字串的單引號 ' 取代成雙引號 "，還有 (2) 在每個 ' 之前加上 /。修正後的 Magical String 不能繞過驗證，並使你的資料庫保持安全。

• 維基百科上的 SQL 注入
• OWASP（Open Web Application Security Project）上的解釋 SQL 注入