3.4.3  針對Web應用的攻擊1.SQL注入

1)原理和危害

SQL注入攻擊是黑客對數據庫進行攻擊的手段之一。隨著B/S模式應用開發的發展，使用這種模式編寫應用程序的程序員也越來越多。但是由于程序員水平及經驗參差不齊，相當大一部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，這就是所謂的SQL Injection，即SQL注人。

注入攻擊的根源在于程序的命令和用戶數據（即用戶輸入）之間沒有做到涇渭分明。這使得攻擊者有機會將程序命令當做用戶輸入的數據提交給Web程序，以執行惡意代碼，為所欲為。

注入攻擊可能造成的危害有：非法查詢其他數據庫資源，比如管理員賬號；執行系統命令；獲取服務器root權限等。