SQL注入攻击-搜狗百科
所谓SQL注入攻击,就是输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户...
搜狗百科
相关软件
SQL注入攻击原理以及基本方法_Toby的博客-CSDN博客_sql注入攻击的原理
阅读:6w+
图书知识聚合
在5本书中找到答案
  • 《网络空间作战:机理与筹划》
    章节6.2.6 Web 攻击
    SQL 注入攻击的主要形式有两种:一是直接将代码插入与 SQL 命令串联在一起并同时执行的用户输入变量中,由于其直接与 SQL 语句捆绑,所以也被称为直接注入攻击法;二是一种间接的攻击方法,它将恶意代码写入要在数据库表存储的字符串中,存储的字符串会连接到一个动态的 SQL 命令,以执行一些恶意的 SQL 代码。2)SQL 注入形成原因SQL 注入攻击是由于程序员在编写代码过程中,对 SQL 语句书写不规范,对一些特殊字符没有过滤,导致在客户端能通过全局变量 POST 和 GET 提交一些 SQL 语句,远程获取服务器敏感信息,包括用户名、密码、姓名、电话、家庭住址等。3)SQL 注入攻击的危害SQL 注入攻击的主要危害包括:非法读取、篡改、添加、删除数据库中的数据;获取数据库高级操作权限;盗取用户的各类敏感信息,获取利益;通过修改数据库来修改网页上的内容;私自添加或删除账号;注入木马;本地溢出并获得服务器最高权限;等等。由于 SQL 注入攻击一般利用 SQL 语法,这使得基于所有 SQL 语言标准的
    敖志刚
    电子工业出版社
  • 《网络攻防实战研究:漏洞利用与提权》
    章节9.11.2 SQL 注入攻击的特点
    SQL 注入攻击是当前网络攻击的主要手段之一,在一定程度上其安全风险高于缓冲区溢出漏洞,目前的防火墙尚不能对 SQL 注入漏洞进行有效的防范。防火墙为了使合法用户运行网络应用程序访问服务器端数据,必须允许从 Internet 到 Web 服务器的正向连接,因此,一旦网络应用程序中存在注入漏洞,攻击者就可以直接访问数据库,进而获得数据库所在的服务器的访问权。所以,在某些情况下,SQL 注入攻击的风险要高于其他漏洞。SQL 注入攻击具有以下特点。● 广泛性:SQL 注入攻击利用的是 SQL 语法,因此,只要是利用 SQL 语法的 Web 应用程序,如果未对输入的 SQL 语句进行严格的处理,都有可能存在 SQL 注入漏洞。目前,在 Active/Java Server Pages、Cold Fusion Management、PHP、Perl 等技术与 SQL Server、Oracle、DB2、Sybase 等数据库相结合的 Web 应用程序中均发现存在 SQL 注入漏洞。● 技术难度不高:SQL 注入技术公布后,网上出现了多款 SQL 注入工具,例如教主的 HDSI、NBSI、明小子的 Domain
    祝烈煌,张子剑
    电子工业出版社
  • 《电力通信、信息原理与技术 下册——电力信息》
    章节四、简答题(11 道)
    SQL 注入攻击(SQL Injection),是发生于应用程序的数据库层的安全漏洞。简而言之,是在输入的数据字符串之中夹带 SQL 指令,在设计不良的程序当中忽略了检查,那么这些夹带进去的指令就会被数据库服务器误认为是正常的 SQL 指令而运行,因此招致到破坏。防范要点:(1)在设计应用程序时,完全使用参数化查询(ParameterizedQuery)来设计数据访问功能。(2)在组合 SQL 字符串时,先针对所传入的参数作字符取代(将单引号字符取代为连续 2 个单引号字符)。(3)如果使用 PHP 开发网页程序的话,也可以打开 PHP 的魔术引号(Magicquote)功能(自动将所有的网页传入参数,将单引号字符取代为连续 2 个单引号字符)。(4)使用其他更安全的方式连接 SQL 数据库。例如已修正过 SQL 注入问题的数据库连接组件,例如 ASP.NET 的 SQLDataSource 对象或是 LINQtoSQL。(5)使用 SQL 防注入系统
    燕福龙
    人民邮电出版社有限公司
  • 《应用软件安全代码审查指南》
    章节5.3.4 PHP SQL 注入
    SQL 注入攻击涉及通过 Web 应用程序的用户界面来向后端数据库系统注入部分 SQL 查询语句。一次成功的漏洞利用可能读取或修改某些数据,也有可能能够执行系统命令。PHP 的 SQL 注入仍是最危险的攻击方式,也是数据泄露的首要原因。可疑字符验证在 PHP 中防止 SQL 注入最常见的方法是用 addslashes()和 mysql_real_escape_string()之类的函数,但是这些函数在某些情况下也能导致 SQL 注入。1)' "addslashes " '只能在被引号括起来的查询字符串中用 addslashes()来防止 SQL 注入,下面这个例子还是可被攻击的。2)' "mysql_real_escape_string()" 'mysql_real_escape_string()比 addslashes()要稍微强一点,因为它通过调用 MySQL 的 mysql_real_escape_string 库函数
    OWASP基金会
    电子工业出版社
  • 《信息安全技术》
    章节9.2.6 SQL注入攻击
    SQL注入攻击利用应用程序中对用户输入的参数过滤不足,入侵者可以通过恶意SQL命令的执行,获得数据读取和修改的权限。 攻击者成功进行SQL注入后,会拥有整个系统的最高权限,可以修改页面、数据,在网页中添加恶意代码,危害较大。 因为Web应用程序门槛很低,很多开发人员没有具备相关的安全意识和知识,所以SQL注入漏洞相当普遍。 例如,某网站中的一条新闻访问地址为: http: //www.target.com.cn/showdetail.asp? id=20000101 新闻的文本内容是保存在数据库中的,当用户请求这个链接时,链接中包含参数"20000101"就是需要传递给数据库进行检索的关键信息。 然而,由于程序员缺乏足够的安全意识和安全编码开发知识,对传递到数据库中的参数没有进行严格的过滤,那么攻击者就可以通过构造特定的语句对数据库进行操作,查询甚至修改、删除数据。 攻击者可以构造如下的请求URL http: //www.target.com.cn/showdetail.asp? id=20000101'And(select *from user);--
    李斌,吴世忠,张晓菲,李淼,沈传宁
    机械工业出版社
其他人还搜了
本文主要针对SQL注入的含义、以及如何进行SQL注入...话不多说,进入正题~如何理解SQL注入攻击)?SQL注入是
注入攻击(SQL注入)wolfshadow-博客园
注入攻击是web安全领域中一种最为常见的攻击方式。...SQL注入第一次为公众所知,是在1998年的著名黑客杂志...
SQL注入攻击 · 精选文章
sql注入攻击如何实现-常见问题-PHP中文网
实现sql注入攻击的方法:1、猜解后台数据库,这是利用最多的方式,盗取网站的敏感信息;2、注入可以借助...
下一页 网络不给力?刷新试试