UNION注入攻击原理与列数类型过滤防御方法

在Web应用安全防护中，SQL注入攻击始终是威胁数据安全的首要风险之一。其中，UNION注入凭借其利用数据库合法语法的特性，成为攻击者绕过基础防御、窃取核心数据的常用高级手段。它不依赖于危险函数或特殊符号，而是直接利用SQL标准中的UNION操作符，使得许多简单的输入过滤与WAF规则难以生效。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

UNION注入为何能轻易突破基础过滤机制

其核心原理在于，攻击者并非直接执行恶意命令，而是通过UNION操作符将恶意查询结果“合法地”附加到原始查询结果中一并返回。由于UNION是SQL标准中的合法关键字，许多仅拦截DROP、EXEC或分号等明显威胁的规则会完全失效。

这里存在一个普遍误区：认为过滤了分号或危险函数就能防范SQL注入。然而，像UNION SELECT 1,2,3这样的查询语句在语法上完全合规，能够轻松绕过基于简单正则表达式的黑名单，甚至欺骗某些配置不当的Web应用防火墙（WAF）。

列数匹配：UNION注入成功的前提条件

UNION操作有一个严格的语法规则：前后两个SELECT语句返回的列数必须完全相同。否则，数据库将抛出类似ERROR 1222 (21000): The used SELECT statements have a different number of columns的错误。这个错误信息本身具有双重意义：既可能暴露后端是否开启了详细错误回显，也直接决定了攻击流程能否继续。

攻击者通常通过以下步骤探测目标查询的列数：

• 使用ORDER BY N递增探测：从id=1 ORDER BY 1--+开始，逐步增加N值（如ORDER BY 2--+、ORDER BY 3--+），直到页面返回错误。最后一个成功的N值即为当前查询的列数。
• 使用UNION SELECT进行验证与定位：构造如id=-1 UNION SELECT 1,2,3,...,N--+的Payload，观察页面是否正常显示这些数字，从而确定数据在页面中的回显位置。
• 如果服务器配置严谨，关闭了详细的SQL错误信息，攻击者则不得不转向更耗时的布尔盲注或时间盲注技术来推断列数，攻击成本与难度将显著增加。

数据类型兼容性问题对注入的影响

MySQL等数据库在执行UNION查询时，会尝试进行隐式的数据类型转换。但这种转换能力有限，如果左侧查询返回字符串类型，而右侧注入的却是BLOB、JSON等复杂类型，就可能触发Illegal mix of collations错误，或导致数据截断，致使注入Payload失效。

实战中更常见的问题是字段顺序与类型的错配。例如：

• 假设原始查询为SELECT id, name, price, image_url, created_at FROM products，共5列。其中price为DECIMAL类型，created_at为DATETIME类型。
• 若注入UNION SELECT id, email, password, role, 'x'--+，假设第4列role在数据库中被定义为ENUM或TINYINT，而原始查询的第4列image_url是VARCHAR，多数情况下数据库的隐式转换可能允许其通过。
• 但若注入UNION SELECT ..., NULL, NOW()--+，试图在第5列放入DATETIME类型的函数NOW()，就很可能与原始查询该位置的VARCHAR类型冲突，导致查询失败。
• 因此，一个稳妥的绕过策略是全部使用字符串类型进行“兜底”，例如使用CONCAT('', email)或CAST(password AS CHAR)，这样可以最大程度避免在强类型校验环境下触发错误。

警惕Prisma ORM中$queryRawUnsafe的安全隐患

Prisma官方文档明确警告：$queryRawUnsafe方法不会对传入的SQL字符串进行任何转义或预处理，用户输入会被直接拼接并执行。这意味着，即便只是将用户输入的搜索关键词q拼接进一个简单的查询，如WHERE name LIKE '%${q}%'，攻击者只需输入' UNION SELECT ...--+，整个注入语句就会被数据库完整执行。

本质上，其风险与开发者直接使用mysql2或pg库进行字符串拼接无异，只是被封装在一个更“现代”的API之下：

• $queryRaw支持参数化查询，是安全的；而$queryRawUnsafe不支持参数化，是危险的。
• 许多开发团队误认为“使用了ORM框架就天然免疫SQL注入”，结果在开发搜索、动态报表等需要拼接SQL的场景时，不经意间使用了$queryRawUnsafe，并且往往配套使用了高权限的数据库连接账号。
• 最隐蔽的风险在于：应用错误日志中可能完全看不到UNION等关键词的痕迹，攻击可能仅表现为数据异常或空结果集。等到发现数据已被窃取时，往往已造成严重损失。

总而言之，应用安全绝非一次性配置，而是一种需要贯穿于设计、开发与运维全过程的持续实践。深入理解UNION注入的工作原理与绕过特性，正是构建有效纵深防御体系的关键起点。