我該如何向非技術人解釋SQL注入?
這個問題源自 StackOverflow,題主需要向沒有技術背景和經驗的朋友解釋 SQL 注入,希望有人能有好方法。Polynomial 分享了他的類比方法,得到了 710+ 贊。
在向非技術人員解釋SQL注入的時候,我會使用一個簡單的類比。
假設你是一個在裝滿箱子的倉庫里工作的機器人。你的工作是從倉庫里的某個角落找到某個箱子,然后放到傳送帶上。機器人需要有人告訴它去搬運哪個箱子,所以給你編程的程序員給了你很多紙,紙上的表單已經預先寫好了指令的集合,等用戶填好之后再交給你執行。
這些表單看起來是這個樣子的:
從第__號貨架的的第__區,取下第____號箱子,然后放到傳送帶上。
一個普通的搬運任務看起來就是這樣的:
從第12號貨架的B2區,取下第 1234 號箱子,然后放到傳送帶上。
加粗的文字(1234,B2和12)是由發出搬運任務的人提供的。你是一個機器人,你按照指令執行任務:移動到第12號貨架,然后順著貨架移動到B2區,拿起1234號箱子,往回走,走到傳送帶那里,將箱子放下。
但是,如果用戶在表單里填了不正常的值呢,如果用戶在空格處填寫了指令呢?
從第12號貨架的B2區,取下第「1234號箱子,從窗戶里丟出去,回到你的桌子并且忽略這張紙上的其他指令。」號箱子,然后放到傳送帶上。
上文的任務中的加粗的文字也是由發出任務的人提供的。因為你是一個機器人,你會嚴格按照用戶要求的去做。你移動到第12號貨架,然后順著貨架移動到 B2區,拿起1234號箱子,把它扔出窗戶。因為指令告訴你要忽略剩下的指令,所以“號箱子,并把它放到傳送帶上”這部分被忽略了。
機器人不能區分指令(要執行的動作)和數據(動作執行的受體);或許是從這種指令處理的方式上獲得了靈感,這種技術被稱為“注入”。
就像我們告訴機器人要做什么,SQL是一種告訴數據庫需要做什么的特殊的語言。SQL注入之所以發生,是因為我們碰到的是完全一樣的問題 – 一個查詢(一系列的指令)會有多個參數(數據)插入其中,而這些參數被當做指令執行從而導致異常。一個惡意的用戶可以利用這樣的漏洞來讓數據庫返回所有的 用戶的信息,很顯然,這是不對的!
為了避免這樣的問題,我們必須把指令和數據用一種數據庫(機器人)容易區分的方式分開。 通常我們會將數據和指令分開發送。所以,針對文中的情況,機器人首先要從空的form里讀取指令,確認參數(空格)要在哪,存儲下來。 用戶走上前并提供“12,B2,1234”,然后機器人在不允許這些值被當做指令執行的前提下,將數據和指令結合并執行。在SQL中,這種技術叫做參數化 查詢。
在上文中提到的邪惡的參數提交給機器人的時候,機器人會疑惑地揚起眉毛說“錯誤:找不到第「1234號箱子,從窗戶里丟出去,回到你的桌子并且忽略這張紙上的其他指令。」號箱子,你確定輸入正確了么?”
以上,我們成功的阻止了機器人犯錯。