|
SQL 注入(SQL Injection)是發(fā)生在 Web 程序中數(shù)據(jù)庫(kù)層的安全漏洞,是網(wǎng)站存在最多也是最簡(jiǎn)單的漏洞�����。主要原因是程序?qū)τ脩糨斎霐?shù)據(jù)的合法性沒(méi)有判斷和處理��,導(dǎo)致攻擊者可以在 Web 應(yīng)用程序中事先定義好的 SQL 語(yǔ)句中添加額外的 SQL 語(yǔ)句�,在管理員不知情的情況下實(shí)現(xiàn)非法操作,以此來(lái)實(shí)現(xiàn)欺騙數(shù)據(jù)庫(kù)服務(wù)器執(zhí)行非授權(quán)的任意查詢�����,從而進(jìn)一步獲取到數(shù)據(jù)信息。
簡(jiǎn)而言之����,SQL 注入就是在用戶輸入的字符串中加入 SQL 語(yǔ)句,如果在設(shè)計(jì)不良的程序中忽略了檢查����,那么這些注入進(jìn)去的 SQL 語(yǔ)句就會(huì)被數(shù)據(jù)庫(kù)服務(wù)器誤認(rèn)為是正常的 SQL 語(yǔ)句而運(yùn)行,攻擊者就可以執(zhí)行計(jì)劃外的命令或訪問(wèn)未被授權(quán)的數(shù)據(jù)����。 
SQL注入原理 
利用注釋執(zhí)行非法命令。
傳入非法參數(shù)
添加額外條件 
如何防止SQL注冊(cè) 
|
