|
8 C& W* n P! d: E 原标题:「网络安全基础知识」什么是SQL注入?SQL注入攻击的原理是什么?什么是SQL注入?SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 6 H# l* d7 {7 b* N, Z, C
SQL 注入可影响任何使用了 SQL 数据库的网站或应用程序,例如常用的数据库有 MySQL、Oracle、SQL Server 等等攻击者利用它,便能无需授权地访问你的敏感数据,比如:用户资料、个人数据、商业机密、知识产权等等。 7 n) Y2 i$ i! H6 a& N
SQL 注入是一种最古老、最流行、也最危险的网站漏洞  $ I6 Y/ U. Z' P+ \9 L: `* l& J
SQL注入攻击的原理是什么?当应用程序使用输入内容来构造动态SQL语句以访问数据库时,会发生SQL注入攻击如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生 SQL 注入。 , I( M1 ^! e- P4 U3 ~' T
SQL注入可能导致攻击者使用应用程序登陆在数据库中执行命令如果应用程序使用特权过高的帐户连接到数据库,这种问题会变得很亚重在某些表单中,用户输入的内容直接用来构造动态 SQL命令,或者作为存储过程的输入参数,这些表单特别容易受到SQL注入的攻击。
1 K( g5 Q# Z8 B+ _2 I0 s 而许多网站程序在编写时,没有对用户输入的合法性进行判断或者程序中木身的变量处理不当,使应用程序 存在安全隐患这样,用户就可以提交一段数据库查询的代码,根据程序返回的结果,获得一些敏感的信息或者控制整个服务器,于是SQL注入就发生了。 ; t( v b- `# V4 W. o1 s6 l
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web 页面访问没什么区别所以目前市面的防火墙都不会对 SQL注入发出警报,如果管理员没查看 IS 日志的习惯可能被入侵很长时间都不会发觉但是,SQL 注入的手法相当灵活,在注入的时候会碰到很多意外的情况,需要构造巧妙的 SQL 语句,从而成功获取想要的数据。
% A5 O9 |# R* [9 r4 | 返回搜狐,查看更多责任编辑:
7 X0 R8 O! i j2 Y$ {9 }: d. Q/ v$ n: Z' w4 H8 H
$ P2 M4 _2 E; f3 `5 M
7 J3 u$ H4 Z% l8 p# {7 `! g7 N' j( \
2 q$ {4 W5 x6 J2 P+ n | 
$ I6 Y/ U. Z' P+ \9 L: `* l& J
