SQL注入及其危害、防御手段 | 您所在的位置:网站首页 › 攻击者 › SQL注入及其危害、防御手段 |
一、什么是SQL注入 SQL(Structured Query Language),即结构化查询语言,用于操作关系型数据库管理系统。目前,大多数Web编程语言提供了操作SQL的接口,以方便与数据库进行交互。但是在开发Web应用的过程中,由于忽视了代码的健壮性和安全性,攻击者可以构造巧妙的SQL语句从而获取到敏感数据,因此导致了SQL这种攻击方式的流行。 二、SQL注入的原理 在B/S模式中,用户可以通过Get或Post等方式,对服务器发出HTTP请求。在服务器端,对数据库执行查询操作,将查询的结果返回浏览器端。黑客利用上述过程,将精心构造的请求放到传入的变量参数中,让服务器端执行恶意代码,从而达到了读取数据库中敏感信息的效果,甚至将数据库删除。这一攻击过程就是SQL注入,它的原理如图所示。 三、触发SQL注入的方式 攻击者通常可以使用以下几种方式来触发SQL注入漏洞: (1)用户的输入。通常使用HTTP的GET或POST请求传输用户数据,通过修改POST包中的数据或者GET请求中URL参数值来实现恶意代码注入。 (2)通过HTTP请求头。服务器端可能会保存用户的IP及U |
CopyRight 2018-2019 实验室设备网 版权所有 |