什么是SQL注入

什么是SQL注入攻击？~

SQL注入是一种注入攻击，可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询，使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或者Web应用程序的身份验证和授权，并检索整个SQL数据库的内容;还可以使用SQL注入来添加，修改和删除数据库中的记录。
SQL注入漏洞可能会影响使用SQL数据库的任何网站或Web应用程序。犯罪分子可能会利用它来未经授权访问用户的敏感数据：客户信息，个人数据，商业机密，知识产权等。虽然最古老，但非常流行，也是最危险的Web应用程序漏洞之一。

通俗的说，就是攻击者想不经过主人的同意，就获取你的数据库里面的数据，首先打开想要攻击的动态网页，在网页输入地址栏里面，直接输入SQL的命令，回车，就可以访问到数据库里的数据。
这样SQL命令通过网页的地址栏，跟着网页地址一起被提交到表单，就叫SQL注入。

SQL注入：
利用现有应用程序，将(恶意)的SQL命令注入到后台数据库引擎执行的能力，这是SQL注入的标准解释。

由于SQL注入属危险行为，故不能给出示例。请谅解。

举个例子：
你后台写的java代码拼的sql如下：
// 该ename为前台传过来的一个查询条件
public List getInfo(String ename){
StringBuffer buf = new StringBuffer();
buf.append("select empno,ename,deptno from emp where ename = '").append(ename).append("'");
...
...
...
}

而前台页面有个输入框如下：
职员姓名：__________

该文本域对应上面方法的ename参数。

如果用户在查询时向职员姓名文本域中输入的是如下信息：
' or '1'='1

那么这时就会涉及到sql注入这个概念了。

上面的字符串传到后台后，与其它select等字符串拼成了如下的语句：
select empno,ename,deptno from emp where ename = '' or '1'='1'

上面的where条件是永远成立的，如果你的表中有权限限制，比如只能查询本地市的信息，过滤条件中有地市过滤，不过因为输入 ' or '1'='1字符串后，条件横成立，导致你能看到所有城市的职员信息，那就会产生权限问题了，用户能看到她不该看到的信息，同理如果是insert或者update等语句的话，通过sql注入会产生不可估量的问题。

攻击者把sql命令插入到你的web页面的输入域或者页面提交的字符串之后。这样可以使你的服务器执行这些sql命令。

把SQL命令插入到web表单提交，或输入URL，或页面查询语句，从而欺骗服务器执行这些恶意SQL

---

江山市15336475341： sql注入(计算机专业名词) - 搜狗百科？
木贵银杏： 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多.但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患.用户可以...

江山市15336475341： 什么是SQL注入?？
木贵银杏： SQL注入的一般步骤首先,判断环境,寻找注入点,判断数据库类型其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种:(A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下:Select * from 表名 ...

江山市15336475341： 简述什么是SQL注入,写出简单的SQL注入语句 - ？
木贵银杏： 一般开发,肯定是在前台有两个输入框,一个用户名,一个密码,会在后台里,读取前台传入的这两个参数,拼成一段SQL,例如: select count(1) from tab where usesr=userinput and pass = passinput,把这段SQL连接数据后,看这个用户名/...

江山市15336475341： 什么是SQL注入 - ？
木贵银杏： SQL注入就是通入使用SQL语句利用程序当中的一些闭合的 '' 语句制造一些错误信息,从而获得数据库的相关信息,以及执行命令,对服务器进行入侵

江山市15336475341： 请问什么是SQL注入???？
木贵银杏：所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容...

江山市15336475341： 什么是 SQL注入呢? - ？
木贵银杏： SQL注入是: 许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患.用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知...

江山市15336475341： SQL注入是什么意思啊,各位大虾告诉我下哈... - ？
木贵银杏： 简单的说sql注入是由于程序员不小心(当然还要加上数据为本身有问题),把用户从页面上的数据直接做为sql语句的一部分提交给数据库,这个时候如果用户使用特别设计的数据就...

江山市15336475341： SQL注入是什么? - ？
木贵银杏： 简单来说就是在sql语句未结束的地方让他提前结束;比如一个sqlselect * from table where name='a' and pass='b'a表示一个变量,当a的值为 : admin' and 0=0;那么sql就会变成select * from table where name='admin' and 0=0;' and pass='b'当执行到;的时候就默认结束了 直接查询出name=admin的数据

江山市15336475341： 什么叫SQL注入?？
木贵银杏： ASP漏洞全接触-进阶篇 作者:未知 来源于:设计动量 推荐等级: 发布时间:2005-11-23 收藏本文 繁体中文 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多.但是由于这个行业的入门门槛不高,程序员的水平及...