SQL注入攻击是通过将恶意的SQL查询或添加语句插入到应用的输入参数中,再在后台SQL服务器上解析执行进行的攻击,它目前是黑客对数据库进行攻击的最常用的手段之一。
SQL注入带来的威胁主要有如下几点:
如图,访客在访问一个网站时候,提交一个?id=1的请求给服务器,服务器就会和数据库进行数据交互,服务器会提取并处理好id=1的这个数据,然后返还给访客,而你在浏览器看到网页的内容,就是服务器返还给你的内容。
数据库服务器上有很多数据库,每个数据库下面都有很多表,而每个表里面都包含很多记录。这些记录就是这个网站的相关数据了,包括我们注册一个网站,它会将你所有的信息,形成一条记录存储在表中。就像你使用Excel电子表一样,数据库的一条记录,就像是Excel电子表的一行,现在懂了吧?
而我们重点学习的是MySQL的相关语句,当使用数据库的Web程序(就是网站)没有对输入做严格的过滤,用户可以通过修改输入参数来构造并提交SQL,这使得攻击者有机会将程序命令当作用户输入的数据提交给Web程序(网站), 最终获取系统信息、甚至执行危险代码或系统命令!而这张图,就是SQL注入中常用的函数,大家可以记一下。
October 18,2021 10:43:59
阅读1.3k
Comments
空城
赞一个
撰写评论