SQL 注入是指攻击者通过恶意的SQL命令插入到 Web 表单的输入域或页面请求的查询字符串中,井且插入的恶意的SQL命令会导致原有的 SQL 语句作用发生改变,从而达到欺骗服务器执行恶意的 SQL 命令的一种攻击方式。
因为它可实现任意数据查询,如查询管理员的密码、用户高价值数据等 严重时会发生“脱库”的高危行为 更有甚者,如果数据库开启了写权限,攻击者可利用数据库的写功能及特定函数,实现木马自动部署、系统提权等后续攻击。
攻击原理:网站数据库查询功能基本流程。
用户---发送请求--- 》服务器
服务器拼接sql语句------》数据库查询
用户《----------------------