sql注入一
理论:
1.sql语言:
结构化查询语言
是一种数据库查询和程序设计语言
用于存取数据及查询、更新、管理关系数据库系统
常用的语句:
增:insert into <表名><列名>values(列值)
删:delete from <表名>( where<删除条件>)
改:update <表名> set <列名=更新值>(where<更新条件>)
查:select <列名>from<表名>(where<查询条件表达式>)
2.sql注入
通过把sql命令插入到web表单或输入域名或页面请求的查询字符串
最终达到欺骗服务器执行恶意的SQL命令。
sql注入利用的是正常的HTTP服务端口,表面上看来和正常的web访问没有区别,隐蔽性极强,不易被发现。
3.sql注入工作原理:
攻击者通过构造特殊的查询语句,访问web服务器,服务器接收到语句后,动态的查询数据,数据库会根据相应的要求返回数据库信息,服务器接收到信息后就直接返回获得的数据库信息给攻击者。
4.SQL注入漏洞形成的条件
用户可以控制数据的输入
原本要执行的sql代码,拼接了用户输入。