AQL的定義
SQL是操作數(shù)據(jù)庫數(shù)據(jù)的結(jié)構化查詢語言,網(wǎng)頁的應用數(shù)據(jù)和后臺數(shù)據(jù)庫中的數(shù)據(jù)進行交互時會采用SQL。而SQL注入是將Web頁面的原URL、表單域或數(shù)據(jù)包輸入的參數(shù),修改拼接成SQL語句,傳遞給Web服務器,進而傳給數(shù)據(jù)庫服務器以執(zhí)行數(shù)據(jù)庫命令。
如Web應用程序的開發(fā)人員對用戶所輸入的數(shù)據(jù)或cookie等內(nèi)容不進行過濾或驗證(即存在注入點)就直接傳輸給數(shù)據(jù)庫,就可能導致拼接的SQL被執(zhí)行,獲取對數(shù)據(jù)庫的信息以及提權,發(fā)生SQL注入攻擊。
SQL的特點:廣泛性、隱蔽性、危害性、操作方便。
SQL注入攻擊又是什么?
SQL注入攻擊通過構建特殊的輸入作為參數(shù)傳入Web應用程序,而這些輸入大都是SQL語法里的一些組合,通過執(zhí)行SQL語句進而執(zhí)行攻擊者所要的操作,它目前是黑客對數(shù)據(jù)庫進行攻擊的最常用手段之一。
SQL 注入帶來的威脅主要有如下幾點
猜解后臺數(shù)據(jù)庫,這是利用最多的方式,盜取網(wǎng)站的敏感信息。
繞過認證,列如繞過驗證登錄網(wǎng)站后臺。
注入可以借助數(shù)據(jù)庫的存儲過程進行提權等操作
整合自:CSDN猿小雪、百度百科
編輯:jq
-
SQL
+關注
關注
1文章
751瀏覽量
43984
發(fā)布評論請先 登錄
相關推薦
評論