sql註入攻擊的原理:SQL 註入(SQLi)是壹種可執行惡意 SQL 語句的註入攻擊。這些 SQL 語句可控制網站背後的數據庫服務。攻擊者可利用 SQL 漏洞繞過網站已有的安全措施。他們可繞過網站的身份認證和授權並訪問整個 SQL 數據庫的數據。他們也可利用 SQL 註入對數據進行增加、修改和刪除操作。
SQL 註入可影響任何使用了 SQL 數據庫的網站或應用程序,例如常用的數據庫有 MySQL、Oracle、SQL Server 等等。攻擊者利用它,便能無需授權地訪問妳的敏感數據,比如:用戶資料、個人數據、商業機密、知識產權等等。SQL 註入是壹種最古老、最流行、也最危險的網站漏洞。OWASP 組織(Open Web Application Security Project)在 2017 年的 OWASP Top 10 文檔中將註入漏洞列為對網站安全最具威脅的漏洞。
為了發起 SQL 註入攻擊,攻擊者首先需要在網站或應用程序中找到那些易受攻擊的用戶輸入。這些用戶輸入被有漏洞的網站或應用程序直接用於 SQL 查詢語句中。攻擊者可創建這些輸入內容。這些內容往往被稱為惡意載體,它們是攻擊過程中的關鍵部分。隨後攻擊者將內容發送出去,惡意的 SQL 語句便會在數據庫中被執行。