什么是SQL注入攻击

　　程序员的水平及经验参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。

　　SQL Injection，即SQL注入

　　不法分子可以提交一段精心构造的数据库查询代码，根据返回的结果，获得某些他想得知的数据，这就是所谓的SQL注入式攻击。
 

　　原理：

　　假如以上这个介绍并不足以支持你了解整个SQL注入的过程，那么接下来你就能了解攻击者们是利用SQL、通过哪种方式来进入目标服务器的数据库从而进行控制的。

　　首先，SQL注入能使黑客绕过认证机制，远程进入目标服务器中的数据库从而控制它。
 

　　目前，大多数Web应用都使用SQL数据库来存放程序数据，而几乎所有的Web应用在后台都使用某种SQL数据库。
 

　　和大多数语言一样，SQL语法允许数据库命令和用户数据混杂在一起;

　　通常攻击者们会访问有SQL注入漏洞的网站，寻找注入点;

　　在找到漏洞之后，构造语句注入程序中，与程序里的SQL语句结合生成新的SQL语句;

　　紧接着新的SQL语句被提交到新数据库中进行处理，数据库执行此段SQL语句后引发SQL注入攻击。

上一篇: 什么是SQL，什么是SQL注入

下一篇: SQL注入的两种形式