xml注入与sql注入的本质区别在于解析器处理输入的机制不同:xml按结构校验,sql按语法执行;防御需分别针对标签闭合和引号逃逸,不可混用过滤规则。
XML注入靠闭合标签,SQL注入靠拼接语句
本质区别不在“注入”二字,而在目标解析器怎么处理输入——XML解析器按结构(标签、属性、嵌套)校验合法性;SQL解析器按语法(关键字、引号、分号)执行语句。所以XML注入的关键是让攻击者能提前闭合当前标签、插入新节点;SQL注入的关键是让单引号或双引号被当作字符串边界,从而逃逸出原始查询逻辑。
- XML中一个未过滤的
<user><name>${input}</name></user>,若用户输入<password>123</password><name></name>,就可能绕过校验逻辑,把密码塞进结构里 - SQL中
SELECT * FROM users WHERE name = '+ user_input +',若输入admin' --,单引号闭合后加注释,后面条件直接失效 - XML不认
--或;,SQL也不认<foo></foo>—— 两者防御点完全不同,不能套用同一套过滤规则
报错回显方式完全不同:XML靠XPath函数,SQL靠数据库函数
盲注场景下,两者都依赖“错误信息泄露数据”,但触发机制和可用函数差异极大。MySQL里常用 extractvalue() 或 updatexml() 强制报错并带出内容;XML注入则依赖解析器对非法XPath或DTD声明的响应,比如用 触发外部实体读取(XXE),但这已属于XML注入的子类,不是所有XML解析器都启用外部实体。
- SQL报错注入典型payload:
SELECT extractvalue(1, CONCAT('~', DATABASE()))→ 报错信息含数据库名 - XML报错注入常见路径:
<?xml version="1.0"?> ]><root>&x;</root>→ 若解析器未禁用外部实体,会返回base64编码的文件内容 - 现代XML库(如Java的
DocumentBuilder)默认禁用外部实体,但老版本或手动配置开启时风险极高;而SQL注入只要拼接+无预编译,几乎必中
防御写法不能混用:转义位置和粒度完全不同
SQL注入防得住,不代表XML安全;反过来也一样。SQL参数化靠PreparedStatement把值当纯数据绑定;XML安全则要确保用户输入只出现在文本节点内容里,绝不能进标签名、属性名、DTD定义或XPath表达式中。
- 错误做法:对XML内容做
String.replace("'", "''")—— 这对SQL有用,对XML完全无效,因为XML根本不管单引号是不是字符串边界 - 正确做法:生成XML时用DOM或SAX API写入内容(如
element.setTextContent(userInput)),而不是字符串拼接;若必须拼接,对、<code>>、&、"、'做XML实体编码(<等) - 特别注意:JSON传参若最终被服务端拼进XML模板(比如日志埋点、配置组装),那JSON字段本身也要按XML规则转义,不是只做JSON转义
实际漏洞常混合出现:XML里藏SQL,SQL里藏XML
真实系统里,XML和SQL很少孤立存在。比如SOAP接口接收XML请求,后端解析后把其中字段拼进SQL;或者Web应用把用户提交的XML存进数据库,再用SQL查出来渲染成页面——这时一处过滤缺失,就可能链式触发两种注入。
- 典型链路:
POST /api/order提交含<order_id>123</order_id><note><script>alert(1)</script></note>→ 后端提取note字段,拼进SQL:INSERT INTO logs(note) VALUES ('<script>...')</script>→ 若没转义,既可能XSS,也可能SQL注入(如果note里含' OR '1'='1) - 更隐蔽的是:XML中的
CDATA块本应原样保留,但如果解析后又被不当拼进SQL,CDATA里的内容照样会触发SQL注入 - 最容易被忽略的一点:日志系统、监控埋点、审计模块往往用最简陋的字符串拼接处理各种输入,它们既不走主业务的SQL预编译,也不走XML安全API,却是注入最常落地的地方
事情说清了就结束。
