sql注入漏洞介绍

1.SQL注入攻击的背景 在信息技术高速发展的今天，各种各样复杂的威胁网站技术也同时快速的“发展”，让人们防不胜防。攻击者利用网络的安全漏洞进行各种恶意活动，如账号盗用、私密信息截获、带宽资源占用等。严重破坏了网络的正常健康运行，危害十分严重。 网站威胁的目标定位有多个维度，可以是个人、公司、某种行业，甚至国家、地区、性别、种族、宗教等。通常情况下攻击会采用多种形态，如病毒、蠕虫、特洛伊、间谍软件等或是他们的复合形态。可以分为内部攻击和外部攻击两类： 01 内部攻击主要来自信任网络，可能是用户执行了未授权访问或是无意中定制了恶意攻击； 02 外部攻击主要是由于网络漏洞被利用或者用户受到恶意程序制定者的专一攻击。 2.SQL注入攻击的概念 SQL注入攻击源于英文“SQL Injection Attack”。目前还没有看到一种标准的定义，常见的是对这种攻击形式、特点的描述。微软技术中心从两个方面进行了描述： 01 脚本注入式的攻击； 02 恶意用户输入用来影响被执行的SQL脚本。 Stephen Kost给出了这种攻击形式的另一个特征，“从一个数据库获得未经 授权的访问和直接检索”。SQL注入攻击就其本质而言，他利用的工具是SQL的语法，针对的是应用