当前位置: 首页
数据库
为何堆叠查询在某些SQL环境危害极大

为何堆叠查询在某些SQL环境危害极大

热心网友 时间:2026-06-30
转载

在SQL注入的诸多变种中,堆叠查询(Stacked Queries)无疑是最令人头疼的一种。普通注入通常只能读取数据或导出库表,而堆叠查询却直接允许在单次请求中嵌入多条SQL语句——删除表、插入数据、修改权限,几乎无所不能。关键在于,只要后端驱动支持多语句执行,这种攻击方式几乎无法通过简单的输入过滤来彻底根除。

为什么堆叠查询(Stacked Queries)在某些SQL环境危害极大?

堆叠查询能执行 DROP/INSERT/UPDATE 等写操作

相比普通 SQL 注入(比如 UNION 或盲注)通常只能读取数据,堆叠查询允许在一次请求中同时执行多条语句。举个例子,攻击者提交 '; DROP TABLE users; -- 或者 '; INSERT INTO admins VALUES ('hacker', 'pwd'); --,只要后端采用了 mysqli_multi_query() 或者设置了 PDO::MYSQL_ATTR_MULTI_STATEMENTS = true 这类支持多语句的驱动配置,数据库就会按顺序逐一执行——先查询,再删除,再插入,完全不受应用层逻辑的约束。

MySQL 默认不启用多语句,但 PHP 驱动常被误配

MySQL 服务端本身默认只接受单条语句,真正打开堆叠大门的其实是客户端驱动的行为。具体来说:

  • mysqli_query() 遇到分号会直接报错:MySQLi SQL syntax error
  • mysqli_multi_query() 是唯一默认允许堆叠的函数,而且不会对第二条语句进行合法性校验
  • PDO 默认禁用多语句,但若显式设置 PDO::MYSQL_ATTR_MULTI_STATEMENTS => true,风险立刻卷土重来

很多旧项目在初始化 PDO 时没有关闭这个标志,或者直接使用 mysqli_multi_query() 进行批量操作,结果就是把注入入口从“只读”升级成了“可写可删”。

WAF 和输入过滤根本挡不住堆叠查询。分号(;)看似容易拦截,但攻击者拥有大量绕过手段:URL 编码用 %3B 替代 ;、通过注释混淆写成 ;/**/DROP/**/TABLE,甚至还能绕开非 HTTP 接口直连数据库——比如 CLI 脚本、定时任务、管理后台 API,这些场景 WAF 根本不覆盖。真正有效的防线只有一条:在建立连接的那一刻就切断驱动执行多语句的能力——不是过滤输入,而是让驱动根本不允许执行多条语句。

修复后容易忽略的兼容性问题

禁用 mysqli_multi_query() 或关闭 PDO::MYSQL_ATTR_MULTI_STATEMENTS 之后,部分旧逻辑会直接崩溃,而不是静默降级。比如安装脚本中原本使用堆叠查询来建表并插入初始数据,会报错:Cannot execute queries while other unbuffered queries are active。再比如 CMS 初始化流程依赖一次发送多条 DDL 语句来建库,失败后日志里可能只记录一句“DB init failed”,完全不提示具体原因。这类调用往往不在主业务链路上,排查时很容易被当成环境问题跳过,但实际上正是堆叠禁用后的必然表现。

来源:https://www.php.cn/faq/2658764.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
Redis 7.0增量AOF重写RDB前导码配置详解

Redis 7.0增量AOF重写RDB前导码配置详解

先说一个几乎所有人都踩过的典型误区:很多人把 aof-use-rdb-preamble yes 当作开启“增量重写”的开关。实际上,这个配置只干了一件事——让重写后的 AOF 文件头部带上 RDB 快照。它解决的是加载速度问题,跟“增量重写”本身的概念压根不是一回事。真正的增量重写,依赖的是 Red

时间:2026-07-02 09:05
在Python Tornado异步框架中安全执行SQL命令的方法与最佳实践

在Python Tornado异步框架中安全执行SQL命令的方法与最佳实践

直接在Tornado里用SQLAlchemy同步执行SQL,结果就是阻塞IOLoop,所谓“异步框架里写同步数据库代码”,等于白搭。安全执行的关键不是“怎么写SQL”,而是“怎么不卡住事件循环”。 为什么不能在RequestHandler里直接调用session execute() 因为sessio

时间:2026-07-02 09:04
利用SQL触发器实现在INSERT数据时自动同步到审计表

利用SQL触发器实现在INSERT数据时自动同步到审计表

先说结论:可以用触发器把 INSERT 数据同步到审计表,但必须用 AFTER INSERT,并且审计表的字段顺序、类型、字符集得和源表严格一致。否则,轻则写入错位、数据截断,重则直接报错、丢数据。下面把这些坑一个一个掰开说。 能,但必须用 AFTER INSERT,且审计表字段顺序、类型、字符集要

时间:2026-07-02 09:04
如何用SQL编写按不同工作日统计员工出勤率

如何用SQL编写按不同工作日统计员工出勤率

在实际业务中,统计不同工作日的出勤率是HR系统里的高频需求。如果直接按日期函数分组,很容易掉进语言环境、索引失效或分母口径的坑里。下面就来拆解具体的实现要点。 必须用 CASE WHEN 将日期映射为固定 weekday 标签(如 Mon )再分组,避免语言环境导致的分组断裂;需过滤 DOW IN

时间:2026-07-02 09:03
Spring Boot 3动态拼接SQL为何引发严重安全漏洞

Spring Boot 3动态拼接SQL为何引发严重安全漏洞

SQL注入漏洞的核心成因,本质上是因为用户输入直接参与了SQL语句的字符串拼接,而未采用参数化绑定机制。在MyBatis中使用${}、QueryWrapper中调用apply()与last()、JPA的@Query注解进行拼接等操作,都会绕过PreparedStatement的安全防护。动态字段必须

时间:2026-07-02 09:03
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 日榜
  • 周榜
  • 月榜