SQL注入原理
·攻击者在页面提交恶意字符
·服务器未对提交的参数进行过滤或过滤不足
·攻击者利用拼接SQL语句方式获取数据库的敏感信息
SQL注入的危害
·获取web网站数据库(数据库泄露)
·用户数据被非法买卖
·危害web应用安全
SQL注入实现方式
·手动
·查找:注入点
·输入:sql常用注入组合语法,进行注入
·自动(工具sqlmap等)
·工具:扫描注入点
·输入:(发现注入点以后)自动尝试个各种组合语法
·攻击者在页面提交恶意字符
·服务器未对提交的参数进行过滤或过滤不足
·攻击者利用拼接SQL语句方式获取数据库的敏感信息
·获取web网站数据库(数据库泄露)
·用户数据被非法买卖
·危害web应用安全
·手动
·查找:注入点
·输入:sql常用注入组合语法,进行注入
·自动(工具sqlmap等)
·工具:扫描注入点
·输入:(发现注入点以后)自动尝试个各种组合语法