前言
在对信息安全的学习中,我们要时刻保持好奇心,多问为什么,要多去探究根本原理,
而不是只会使用工具和死记硬背,遇到不会又搜不到答案的问题,我们要大胆猜想,
小心求证,只有这样我们才能不断的进步,在信息安全的领域越走越远
重要部分请大家多读几遍 o!
Web入侵先遣—SQL注入攻击技术初探
了解TA的前世今生
SQL注入式攻击技术,一般针对基于Web平台的应用程序.造成SQL注入攻击漏洞的原因,是由于程序员在编写Web程序时,没有对浏览器端提交的参数进行严格的过滤和判断。用户可以修改构造参数,提交SQL查询语句,并传递至服务器端,从而获取想要的敏感信息,甚至执行危险的代码或系统命令。
虽然SQL注入攻击技术早已出现,但是时至今日仍然有很大一部分网站存在SQL注入漏洞,在本章开篇中进行的入侵检测中就发现了各大门户网站同样存在SQL注入漏洞,更别说一些小网站了。由于SQL漏润存在的普遍性,因此SQL入侵攻击技术往往成为黑客入侵攻击网站渗透内部服务的首选技术,其危害性非常大。
1.1 注射式攻击的原理
注射式攻击的根源在于,程序命令和用户数据(即用户输入)之间没有做到泾渭分明。这使得攻击者有机会将程序命令当作用户输入的数据提交给Web程序,以发号施令,为所欲为(注:注入最终是数据库,与脚本、平台无关)。
个人认为总之一句话:注入产生的原因是接受相关参数未经处理直接带入数据库查询操作
为