目录
- 为什么要聊 SQL 注入攻击?
- 什么是 SQL 注入攻击?
- 如何进行 SQL 注入攻击?
- 如何防范?
- 常见面试题
- 瞎比比
为什么要聊 SQL 注入攻击?
我这人有个想法,就是不管自己跳不跳槽,每年都会调个时间去面试一下,一来可以摸摸自己的底,知道自己的价值,二来也可以知道市场的环境局势。可以更好地为自己定位,能及时查缺补漏。所以半年前我也执行了这个想法,去参加了面试。我当时就被问到了 SQL 注入攻击,你说不知道 SQL 注入吧,我又听说过,但你叫我说清楚吧,我又说不清楚,于是场面一度很尴尬。也是后面结束面试之后,查资料才搞清楚的。那么今天我们就来聊聊 SQL 注入攻击。
什么是 SQL 注入攻击?
首先我们得知道什么是 SQL 注入攻击,官方一点的说法是这样的:
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
那通俗一点呢?这么来说吧,一般我们提交的表单数据(未经过滤的情况下)都会拼接到 SQL 查询语句中的,就例如:
SELECT * FROM users WHERE name='zone'
其中 name 参数 zone 就是从表单中传过来的数据,如果传的参数不是 zone,而是一条 SQL 语句,那么就