20:50
一、SQL注入的定义
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
二、SQL注入的原理
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
三、以牛腩老师讲新闻发布系统中的例子为例,介绍一下我对SQL注入的理解:
1、非参数话查询处理
1)把变量内容放到下面SQL语句的''单引号中,执行SQL语句。(正常)