|
SQL 注入(SQL Injection)是發(fā)生在 Web 程序中數(shù)據(jù)庫層的安全漏洞����,是網(wǎng)站存在最多也是最簡單的漏洞。主要原因是程序?qū)τ脩糨斎霐?shù)據(jù)的合法性沒有判斷和處理���,導(dǎo)致攻擊者可以在 Web 應(yīng)用程序中事先定義好的 SQL 語句中添加額外的 SQL 語句�����,在管理員不知情的情況下實現(xiàn)非法操作,以此來實現(xiàn)欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢��,從而進一步獲取到數(shù)據(jù)信息�����。
簡而言之,SQL 注入就是在用戶輸入的字符串中加入 SQL 語句�����,如果在設(shè)計不良的程序中忽略了檢查���,那么這些注入進去的 SQL 語句就會被數(shù)據(jù)庫服務(wù)器誤認為是正常的 SQL 語句而運行���,攻擊者就可以執(zhí)行計劃外的命令或訪問未被授權(quán)的數(shù)據(jù)。 
SQL注入原理 
利用注釋執(zhí)行非法命令���。
傳入非法參數(shù)
添加額外條件 
如何防止SQL注冊 
|
