本文共 452 字,大约阅读时间需要 1 分钟。
在现代化Web应用程序的设计中,代码与数据被分离后独立保存在服务器中。随着数据量的增加,需要使用专门的数据管理程序,这些程序通常是数据库系统。目前最常用的数据库软件包括MySQL、SQLServer和Access等,它们的操作都遵循SQL(Structured Query Language,结构化查询语言)标准,但各产品之间存在一定差异。
SQL注入攻击是一种通过修改输入的SQL语句来执行代码,进而攻击Web服务器的方式。虽然与命令注入攻击类似,但两者目标不同。SQL注入攻击提交的是SQL语句,主要针对Web应用程序使用的数据库;而命令注入攻击提交的是系统命令,主要针对操作系统。
SQL注入攻击被认为是当前最常见的Web攻击方式之一,因此也得到了业界的广泛重视。近年来,攻击门槛提高,攻击频率有所下降,但攻击手段也更加隐蔽,增加了防御难度。
程序开发人员会将对数据库操作的语句编写在代码中。以DVWA中的SQL Injection页面代码为例,以下将展示低安全级别的代码示例。
转载地址:http://rhyfk.baihongyu.com/