随风逆流的蒲公英的博客

什么是sql注入注入本质上就是把输入的数据变成可执行的程序语句，所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。攻击者通过在应用程序预先定义好的SQL语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的查询,篡改命令。它能够轻易的绕过防火墙直接访问数据库，甚至能够获得数据库所在的服务器的系统权限。在Web应用漏洞中，SQL Injection 漏洞的风险要高过其他所有的漏洞。

sql注入漏洞修补 sql注入漏洞的形成原因是因为对输入的语句未做严格的过滤或转义，导致其传入的“数据”拼接到SQL语句中后，被当做SQL语句的一部分执行。从而导致数据库受损。