SQL注入：

　　不法分子们利用SQL非常容易受技术经验不足的程序员欢迎并使用从而搭建网站的特性，试图侵入数据库来控制目标主机或从中获得想要的资料。
 

　　他们将Web页面的表单域、原URL或数据包输入的参数修改拼接成SQL语句传递给Web服务器，由此传给数据库服务器以执行数据库命令。

　　假如Web应用程序的开发人员不验证或过滤用户所输入的Cookie和数据内容就直接传输给数据库就可能导致这段SQL命令被执行，从而获取数据库权限。

　　SQL注入有两种形式。

　　一是直接将代码插入到与SQL命令串联在一起并使得其以执行的用户输入变量。由于其直接与SQL语句捆绑，故也被称为直接注入式攻击法;

　　二是一种间接的攻击方法，它将恶意代码注入要在表中存储或者作为原书据存储的字符串。
 

　　在存储的字符串中会连接到一个动态的SQL命令中，以执行一些恶意的SQL代码。

　　注入过程的工作方式是提前终止文本字符串，然后追加一个新的命令。

　　以直接将代码插入到SQL命令串的攻击方式为例，在输入用户访问数据的时候，先用一个分号结束当前的语句，然后再插入一个恶意SQL语句即可。

　　由于插入的命令可能在执行前追加其他字符串，因此攻击者常常用注释标记“一”来终止注入的字符串;执行时，系统会将此文本理解为语句注释，因此不执行编译后续文本。

上一篇: 高防IP：不法分子如何进行SQL注入攻击

下一篇: 为什么高防IP和云WAF用在Web防护上