每周一喂 | 什么是SQL注入？看图就明白了~~

Posted 2021-04-11 e安在线

与其相忘于江湖，不如点击“蓝字”关注

SQL注入式攻击

所谓SQL注入式攻击，就是输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。

那到底什么是SQL注入式攻击呢？

先来看一副漫画

01

看漫画的上半部分。一个小男孩跑去给医生打了一针后开开心心的回去了。我称之为医生对小男孩进行了一次操作。

02

回家后，小男孩发现：我的桌子咋没拉（一语双关，table 又指表）。为什么打完针后我的表就没了呢？

03

捉急啊！仔细想想，问题肯定出自刚才打的那一针。

Bingo！医生打的那针可不是普通的针，居然是一条SQL语句。（技术角度来讲，就是在数据库操作中，我们直接将用户输入的数据进行拼装SQL语句，带来的安全性问题。）

SQL注入攻击的危害

系统环境不同，攻击者可能造成的损害也不同，这主要由应用访问数据库的安全权限决定。如果用户的帐户具有管理员或其他比较高级的权限，攻击者就可能对数据库的表执行各种他想要做的操作，包括添加、删除或更新数据，甚至可能直接删除表。

Ok，本期《每周一喂》就到这里了！那么，咱们下周四再见喽~

更多资讯，请点击“阅读原文”