1.web程序三层结构
2.什么是sql注入
SQL注入
是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。
注入攻击的本质
是把用户输入的数据当做代码执行。这里有两个关键条件,第一个是用户能够控制输入;第二个是原本程序要执行的代码,拼接了用户输入的数据。在本章中,我们会分别探讨几种常见的注入攻击,以及防御办法。
举例
符号–在数据库中表示注释
威胁
- 猜解后台数据库,这是利用最多的方式,盗取网站的敏感信息
- 绕过认证,例如绕过验证登录网站后台
- 注入可以借助数据库的存储过程进行提权等操作