相关概念
- SQL是用来操作关系型数据库管理系统(RDBMS)的数据库语言
- SQL注入是指针对web应用使用的数据库,通过运行非法的SQL语句产生的攻击
SQL注入攻击案例
正常处理:URL的查询字段指定q=上野宣,这个值由web应用传入到SQL语句中,构成了下面的SQL语句
SQL注入:吧刚才查询字段的上野宣改成”上野宣’–”
SQL语句中的–之后全视为注释,即and flag = 1这个条件被自动忽略了
这里只是吧原本不该显示的书籍都一起显示出来了,实际发生SQL注入攻击时,很有可能导致用户信息或结算内容等其他数据表的非法浏览者及篡改。