SQL注入的原理以及危害

   

    SQL注入，就是经过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，好比先前的不少影视网站泄露VIP会员密码大多就是经过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击。

基础原理

    SQL注入攻击指的是经过构建特殊的输入做为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，经过执行SQL语句进而执行攻击者所要的操做，其主要缘由是程序没有细致地过滤用户输入的数据，导致非法数据侵入系统。

    根据相关技术原理，SQL注入能够分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致；后者主要是因为程序员对输入未进行细致地过滤，从而执行了非法的数据查询。基于此，SQL注入的产生缘由一般表如今如下几方面：①不当的类型处理；②不安全的数据库配置；③不合理的查询集处理；④不当的错误处理；⑤转义字符处理不合适；⑥多个提交处理不当。

 

SQL注入的危害

• 数据库信息泄漏：数据库中存放的用户的隐私信息的泄露。
• 网页篡改：经过操做数据库对特定网页进行篡改。
• 网站被挂马，传播恶意软件：修改数据库一些字段的值，嵌入网马连接，进行挂马攻击。
• 数据库被恶意操做：数据库服务器被攻击，数据库的系统管理员账户被窜改。
• 服务器被远程控制，被安装后门。经由数据库服务器提供的操做系统支持，让黑客得以修改或控制操做系统。
• 破坏硬盘数据，瘫痪全系统。