1.SQL 注入
SQL 注入攻击是通过将恶意的 SQL 查询或添加语句插入到应用的输入参数中,再在后台 SQL 服务器上解析执行进行的攻击, 它目前黑客对数据库进行攻击的最常用手段之一。
2.Web 程序三层架构 :
a.界面层(User Interface layer)
b.业务逻辑层(Business Logic Layer)
c.数据访问层(Data access layer)
区分层次的目的即为了高内聚低耦合的思想。在软件体系架构设计中,分层式结构是最常见,也是最重要的一种结构被应用于众多类型的软件开发。
3.SQL 注入带来的威胁:
猜解后台数据库,这是利用最多的方式,盗取网站的敏感信息。
绕过认证,列如绕过验证登录网站后台。
注入可以借助数据库的存储过程进行提权等操作
4.SQL 注入的手段:
猜数据库
SQL漏洞绕过登录验证 or 构造"为真条件"
采用非主流通道技术
避开输入过滤技术
使用特殊的字符
强制产生错误
使用条件语句
利用存储过程
推断技术等
5.判断是否存在 SQL 注入漏洞
最为经典的单引号判断法,即 在参数后面加上单引号
注:持续更新