SQL注入攻击如何识别

识别SQL注入攻击主要依赖于对输入、请求和行为的多维度分析，可从特征检测、日志分析、异常行为、防护工具四个层面入手。

一、常见SQL注入识别特征

SQL注入通常发生在用户输入点（如URL参数、表单、HTTP头、Cookie等），典型特征包括：

1. 输入中包含SQL语法关键词

常见关键字（不区分大小写）：

' " ; -- # 
SELECT UNION INSERT UPDATE DELETE DROP 
OR AND 1=1 1=2 
EXEC xp_cmdshell 
SLEEP BENCHMARK 

示例：

' OR '1'='1
" OR 1=1 --

2. 畸形SQL结构

• 单引号/双引号未闭合
• 注释符 -- # /* */
• 逻辑绕过：

admin' OR '1'='1
id=1 UNION SELECT null,null

3. 测试性注入行为

攻击者常先试探是否存在注入点：

?id=1'
?id=1" 
?id=1 AND 1=1
?id=1 AND 1=2

二、通过日志识别SQL注入

1. Web服务器日志（Nginx / Apache）

关注：

• URL中带SQL关键词
• 异常参数长度
• 多次试探性请求

示例：

GET /index.php?id=1' UNION SELECT 1,2,3--

2. 应用日志

• 数据库报错信息暴露（如MySQL error、syntax error）
• 某参数频繁触发异常

三、基于行为的识别方式

1. 异常访问行为

• 同IP短时间大量请求
• 参数值频繁变化但路径固定
• 非人类输入（随机字符串、编码内容）

2. 响应异常

• HTTP 500（数据库报错）
• 页面内容异常变化
• 响应时间明显变长（时间盲注）

四、自动化识别技术

1. WAF规则识别

主流WAF（ModSecurity、云WAF）常见规则：

• 正则匹配SQL语法
• 黑名单关键词
• 参数结构异常检测

示例规则思路：

(\bUNION\b.*\bSELECT\b)
('|\")\s*(OR|AND)\s*\d+=\d+

2. 入侵检测（IDS / IPS）

• 检测SQL特征流量
• 关联多次可疑请求

五、SQL注入识别示例

示例 1：联合查询注入

?id=1 UNION SELECT username,password FROM users

识别点：

• UNION + SELECT
• 非预期参数结构

示例 2：盲注

?id=1 AND SLEEP(5)

识别点：

• 响应延迟
• 逻辑判断语句

六、误判与规避

注意以下“假注入”：

• 合法业务SQL（如后台查询）
• Base64 / JSON中的SQL内容
• 加密参数

降低误报方法：

• 结合上下文（是否真的拼SQL）
• 白名单参数
• 行为模型而非单纯特征

七、识别后的应对建议

1. 不要直接回显数据库错误
2. 使用 参数化查询 / 预编译语句
3. 限制数据库权限
4. 日志记录完整请求并告警
5. 部署WAF并开启SQL注入防护规则

如果你愿意，我也可以：

• ✅ 给你一份 SQL注入识别规则清单
• ✅ 分析 某条真实日志是否含注入
• ✅ 讲解 时间盲注 / 布尔盲注如何识别

你可以直接贴一段请求或日志。