21 lines
1.2 KiB
Markdown
21 lines
1.2 KiB
Markdown
##9.4 避免SQL注入
|
||
##什么是SQL注入
|
||
SQL注入攻击(SQL Injection),简称注入攻击,它是Web开发中最常见的一种安全漏洞。SQL注入漏洞可以用来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统最高权限。
|
||
|
||
而造成SQL注入的原因是由于程序没有过滤用户的输入,攻击者通过向服务器提交恶意的SQL查询语句,应用程序接收后错误的将攻击者的输入作为原始SQL查询语句的一部分执行,导致改变了程序原始的SQL查询逻辑,额外的执行了攻击者构造的SQL查询语句。
|
||
##SQL注入实例
|
||
很多 web 开发者没有注意到 SQL 查询是可以被篡改的,因而把 SQL 查询当作可信任的命令。殊不知道,SQL 查询可以绕开访问控制,从而绕过身份验证和权限检查。更有甚者,有可能通过 SQL 查询去运行主机操作系统级的命令。
|
||
|
||
下面将会给出一些真实的例子详细讲解一下SQL注入危害。
|
||
|
||
|
||
|
||
##如何预防SQL注入
|
||
##总结
|
||
## links
|
||
* [目录](<preface.md>)
|
||
* 上一节: [避免XSS攻击](<9.3.md>)
|
||
* 下一节: [存储密码](<9.5.md>)
|
||
|
||
## LastModified
|
||
* $Id$ |