一、 SQL(Structured Query Language)
解释:结构化查询语言,能够访问数据库。
二、 常见的关系型数据库管理系统
SQL Server(中型),MYSQL(小型),Oracle(大型)
三、 SQL标准
SQL92和SQL99,主流的是SQL99
四、 SQL注入式攻击原理
把SQL命令插入到Web表单的输入域或页面的网址(URL)中,欺骗服务器执行恶意的SQL命令。
五、 数据库系统分为数据库和数据库管理系统
数据库是存放数据的地方,数据库管理系统是管理数据库的软件
六、 数据库中数据的存储结构称为数据模型
常见的四种数据库模型:层次模型,网状模型,关系模型,面向对象模型,其中,关系模型是最主要的数据模型
七、 表组成
表是一个关系数据库的基本组成元素,将相关信息按行和列组合排列,行称为记录,列称为域,每个域(列)称为一个字段,每条(行)记录都由多个(列)字段组成,每个(列)字段的名字称为字段(列)名,每个字段(列)的值称为字段(列)值,表中每一行(每一条记录)都拥有相同的结构。
八、 SQL的注入条件
SQL注入攻击是一种利用用户输入构造的SQL语句的攻击。
程序运行SQL语句时的权限与当前该组件(如数据库服务器、Web服务器等)的权限相同,而这些组件一般的运行权限都很高,经常以管理员的权限运行。
SQL注入式现在存在最广泛的web漏洞之一,是存在于web应用程序开发中的漏洞,不是数据库本身的问题。
只有调用了数据库的动态页面才有可能存在注入漏洞,动态页面包括ASP、JSP、PHP、Perl和CGI等。
怎么知道此时访问的页面是否为动态页面?
当访问一个网页时,如果URL中包含“asp?id=”、“php?id=”或“jsp?id=”等类似内容,那么此时就要调用数据库的动态页面了。”?“后面的id称为变量,”=“后面的值称为参数。
注入漏洞存在的一个重要条件是程序对用户提交的变量没有进行有效过滤,就直接放入SQL语句中了。