SQL注入
什么是SQL
结构化查询语言(Structured Query Language)简称SQL, 是一种特殊目的的编程语言,是一种数据库查询和程序设计语 言,用于存取数据以及查询、更新和管理关系数据库系统;同 时也是数据库脚本文件的扩展名
sql正常查询流程
注入成因
SQL注入原理
用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外 结果的攻击行为。
其成因可以归结为以下两个原因叠加造成的:
1. 程序编写者在处理应用程序和数据库交互时,使用字符串拼接的方式 构造SQL语句。
2. 未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL查询 语句中
哪里可能存在sql注入
任何从客户端可控且传递到服务器的变量都有可能存在SQL注入。
这些变量经常出现在GET、POST形式的传递的参数中,以HTTP请求消息头部和 Cookie中