SQL注入：SQL注入简介

什么是SQL注入

1）正常的web端口访问

     正常的访问是web传入程序设计者所希望的参数值，由程序查询数据库完成处理后，呈现结果页面给用户

2）SQL注入如何访问

     SQL注入也是正常web端口访问

     只是传入的参数值并非是程序设计者所希望的，而是传入了嵌套SQL代码的参数值

     参数值利用程序处理注入者的逻辑，按注入者的期望值执行数据库查询

     甚至页面呈现按SQL注入者期望显示

SQL注入是通过应用程序把带有SQL代码的参数传递给数据库引擎

为什么要深入了解SQL注入

1）SQL注入危害大

     黑客最终目标是数据，SQL注入是直达数据库引擎，甚至提权后可以与系统层交互，敏感数据可能被泄露，破坏的风险

2）SQL‘注入隐秘性强

     SQL注入也是正常Web端口访问，系统或者数据库管理员不易发觉，可能被攻击者长期控制系统或者数据库

SQL注入漏洞的根本原因

是应用程序的问题，而不是系统或者数据库的问题