SQL注入的两种形式
SQL注入:
不法分子们利用SQL非常容易受技术经验不足的程序员欢迎并使用从而搭建网站的特性,试图侵入数据库来控制目标主机或从中获得想要的资料。
他们将Web页面的表单域、原URL或数据包输入的参数修改拼接成SQL语句传递给Web服务器,由此传给数据库服务器以执行数据库命令。
假如Web应用程序的开发人员不验证或过滤用户所输入的Cookie和数据内容就直接传输给数据库就可能导致这段SQL命令被执行,从而获取数据库权限。
SQL注入有两种形式。
一是直接将代码插入到与SQL命令串联在一起并使得其以执行的用户输入变量。由于其直接与SQL语句捆绑,故也被称为直接注入式攻击法;
二是一种间接的攻击方法,它将恶意代码注入要在表中存储或者作为原书据存储的字符串。
在存储的字符串中会连接到一个动态的SQL命令中,以执行一些恶意的SQL代码。
注入过程的工作方式是提前终止文本字符串,然后追加一个新的命令。
以直接将代码插入到SQL命令串的攻击方式为例,在输入用户访问数据的时候,先用一个分号结束当前的语句,然后再插入一个恶意SQL语句即可。
由于插入的命令可能在执行前追加其他字符串,因此攻击者常常用注释标记“一”来终止注入的字符串;执行时,系统会将此文本理解为语句注释,因此不执行编译后续文本。
上一篇: 高防IP:不法分子如何进行SQL注入攻击
下一篇: 为什么高防IP和云WAF用在Web防护上