用户打开一个输入框,可以输入任何内容,包括SQL语句。如果网站开发者,没有对用户输入的内容,进行判断和过滤,那么这些语句将被执行。攻击者可以在管理员毫不知情的情况下,对数据库服务器进行操作。
SQL注入攻击的危害
许多年以前,SQL注入攻击即将消失的消息不绝于耳,但无数个事实告诉我们,SQL注入攻击还没有离我们远去。
近几年SQL注入事件少了很多,不是开发人员意识提高,也不是预编译的推广见成效,而是各种框架的流行和推广。例如ThinkPHP框架,在处理查询的时候,根本不会让开发人员拼接语句,而是对象化查询。
在框架的加持下,SQL注入攻击事件下降了很多。但是仍然有很多站点正在遭受SQL注入的威胁。特别是一些老站点,攻击者可使用像HDSI、HBSI等SQL注入工具,直接对网站发动攻击。这些工具使用门槛很低,攻击者很容易取得服务器的控制权。
更关键的是,各大框架的普及,虽然降低了被SQL攻击的概率,但却提高了SQL攻击的威胁。如果有人审计到框架SQL注入,将导致极大范围的SQL注入漏洞。对框架使用者,乃至整个互联网造成重大危害。