Web网站最头痛的就是遭受攻击。Web很脆弱,所以基本的安防工作,我们必须要了解!
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 通过一下的例子更形象的了解SQL注入: 有一个Login画面,在这个Login画面上有两个文本框分别用来输入用户名和密码,当用户点了登录按钮的时候,会对输入的用户名和密码进行验证。验证的SQL语句如下: select * from student where username=’输入的用户名’ and password=’输入的密码’ 如果能够检索到数据,说明验证通过,否则验证不通过。 如果用户在用户名文本框中输入 ‘ or ‘1’ = ‘1’ or ‘1’ = ‘1,则验证的SQL语句变成:
1
|
select * from student where username='' or '1' = '1' or '1' = '1' and password='' 如果用户在密码文本框中输入 1' or '1' = '1,
|
则验证的SQL语句变成: