我的理解是在代表web表单提交的那个文本框中插入恶意的SQL语句,而设计不良的web程序忽略了相应的检查,这些SQL语句就会被数据库认为是正确合法的语句,从而造成破坏。
二SQL注入的原理是什么?
引用
如果在组合SQL的命令字符串时,未针对单引号字符作取代处理的话,将导致该字符变量在填入命令字符串时,被恶意窜改原本的SQL语法的作用
比如
strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"
userName = "' OR '1'='1";和
passWord = "' OR '1'='1";
这样就达到了strSQL = "SELECT * FROM users;"也就是无账号密码进入网站
例子参考 http://zh.wikipedia.org/wiki/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A
三如何避免危害?
1.参数化查询,就是在查询数据库的语句中,在需要插入数据的地方,使用参数的方法来给值。而数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL 指令的编译后,才套用参数运行。也就是先编译,后查询,这时如果套用的参数中包含SQL指令,那么由于已经编译完成,就不会再运行。
例子可参考
http://zh.wikipedia.org/wiki/%E5%8F%83%E6%95%B8%E5%8C%96%E6%9F%A5%E8%A9%A2
2.使用PHP 魔术引号功能
自动将所有的网页传入参数,将单引号字符取代为连续2个单引号字符
其他方法请参考 http://zh.wikipedia.org/wiki/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A