sql注入初探

一、什么是SQL注入？

　　Sql 注⼊攻击是通过将恶意的 Sql 查询或添加语句插⼊到应⽤的输⼊参数中，再在后台 Sql 服务器上解析执⾏进⾏的攻 击，它⽬前⿊客对数据库进⾏攻击的最常⽤⼿段之⼀。 当访问动态⽹页时, Web 服务器会向数据库发起 Sql 查询请求，如果权限验证通过就会执⾏ Sql 语句。 这种⽹站内部直接发送的Sql请求⼀般不会有危险，但实际情况是很多时候需要结合⽤户的输⼊数据动态构造 Sql 语句，如 果⽤户输⼊的数据被构造成恶意 Sql 代码，Web 应⽤⼜未对动态构造的 Sql 语句使⽤的参数进⾏审查，则会带来意想不到 的危险。

二、SQL注入的主要危害有哪一些？

1. 　　猜解后台数据库，这是利⽤最多的⽅式，盗取⽹站的敏感信息。
2. 　　绕过认证，列如绕过验证登录⽹站后台。
3. 　　注⼊可以借助数据库的存储过程进⾏提权等操作（什么是提权？其是当入侵某一网站时，通过各种漏洞提升webshell权限以夺得该服务器权限。

三、目前有哪些常用数据库？

1. acess数据库，微软发布的关系数据库管理系统。
2. mysql数据库，⼀种开放源代码的关系型数据库管理系统。
3. MS sql数据库，微软公司推出的⼀种关系型数据库系统。
4. Oracles数据库，是甲⾻⽂公司的⼀款关系数据库管理系统。