SQL注入攻击概述
SQL注入概念
1988年,著名黑客杂志《Phrack》54期,一位名叫rfp的黑客第一次介绍了SQL注入攻击.
标准查询过程
SQL注入:攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,并且插入的恶意SQL命令会导致原油的SQL语句作用发生改变,从而得到欺骗服务器执行恶意SQL命令的一种攻击方式.
SQL注入原因:没有对用户输入数据的合法性进行判断.
SQL注入条件
本质:把用户输入的数据当做代码执行.
SQL注入原理
SQL注入防范
根本原因:过滤不严
安全设计原则:数据与代码分离