SQL注入的原理以及危害

   

    SQL注入，就是經過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令，好比先前的不少影視網站泄露VIP會員密碼大多就是經過WEB表單遞交查詢字符暴出的，這類表單特別容易受到SQL注入式攻擊。

基礎原理

    SQL注入攻擊指的是經過構建特殊的輸入做爲參數傳入Web應用程序，而這些輸入大都是SQL語法裏的一些組合，經過執行SQL語句進而執行攻擊者所要的操做，其主要緣由是程序沒有細緻地過濾用戶輸入的數據，導致非法數據侵入系統。

    根據相關技術原理，SQL注入能夠分爲平臺層注入和代碼層注入。前者由不安全的數據庫配置或數據庫平臺的漏洞所致；後者主要是因爲程序員對輸入未進行細緻地過濾，從而執行了非法的數據查詢。基於此，SQL注入的產生緣由一般表如今如下幾方面：①不當的類型處理；②不安全的數據庫配置；③不合理的查詢集處理；④不當的錯誤處理；⑤轉義字符處理不合適；⑥多個提交處理不當。

 

SQL注入的危害

• 數據庫信息泄漏：數據庫中存放的用戶的隱私信息的泄露。
• 網頁篡改：經過操做數據庫對特定網頁進行篡改。
• 網站被掛馬，傳播惡意軟件：修改數據庫一些字段的值，嵌入網馬連接，進行掛馬攻擊。
• 數據庫被惡意操做：數據庫服務器被攻擊，數據庫的系統管理員賬戶被竄改。
• 服務器被遠程控制，被安裝後門。經由數據庫服務器提供的操做系統支持，讓黑客得以修改或控制操做系統。
• 破壞硬盤數據，癱瘓全系統。