网盾安全 - 服务器租用、高防IP、云WAf等

值得信赖的互联网安全服务商,最新动态、新的产品促销活动分享,网络安全动态!

SQL注入的两种形式

发布时间:2021-01-19 13:56:16      来源:      作者: 阿己

  SQL注入:

  不法分子们利用SQL非常容易受技术经验不足的程序员欢迎并使用从而搭建网站的特性,试图侵入数据库来控制目标主机或从中获得想要的资料
 

  他们将Web页面的表单域、原URL或数据包输入的参数修改拼接成SQL语句传递给Web服务器,由此传给数据库服务器以执行数据库命令。

  假如Web应用程序的开发人员不验证或过滤用户所输入的Cookie和数据内容就直接传输给数据库就可能导致这段SQL命令被执行,从而获取数据库权限。


 

  SQL注入有两种形式。

  一是直接将代码插入到与SQL命令串联在一起并使得其以执行的用户输入变量。由于其直接与SQL语句捆绑,故也被称为直接注入式攻击法;

  二是一种间接的攻击方法,它将恶意代码注入要在表中存储或者作为原书据存储的字符串。
 

  在存储的字符串中会连接到一个动态的SQL命令中,以执行一些恶意的SQL代码。

  注入过程的工作方式是提前终止文本字符串,然后追加一个新的命令。

  以直接将代码插入到SQL命令串的攻击方式为例,在输入用户访问数据的时候,先用一个分号结束当前的语句,然后再插入一个恶意SQL语句即可。

  由于插入的命令可能在执行前追加其他字符串,因此攻击者常常用注释标记“一”来终止注入的字符串;执行时,系统会将此文本理解为语句注释,因此不执行编译后续文本。

 

 

最新动态

为您提供行业资讯、活动公告、产品发布,汇聚前沿流行的新闻动态

加入网盾,开启安全防护

网盾安全 高防服务器、游戏盾、DDoS高防IP、云WAF等多款安全产品

立即体验