SQL注入式攻击

enhygene566

1.所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。 2.在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击。 常见的SQL注入式攻击过程例如： （1）某个ASP.NET Web应用有一个登录页面，这个登录页面控制着用户是否有权访问应用，它要求用户输入一个名称和密码。 （2）登录页面中输入的内容将直接用来构造动态的SQL命令，或者直接用作存储过程的参数。下面是ASP.NET应用构造查询的一个例子:   (3）攻击者在用户名字和密码输入框中输入"'或'1'='1"之类的内容。 国内外服务器 高防服务器 专线服务器 大带宽 高防 CDN 站群 免实名 支持测试 详情联系： 飞机 : @cdncloud56       @cdncloud31       QQ :  2881702452 欢迎咨询 24个小时~ （4）用户输入的内容提交给服务器之后，服务器运行上面的ASP.NET代码构造出查询用户的SQL命令，但由于攻击者输入的内容非常特殊，所以最后得到的SQL命令变成：SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'。 （5）服务器执行查询或存储过程，将用户输入的身份信息和服务器中保存的身份信息进行对比 （6）由于SQL命令实际上已被注入式攻击修改，已经不能真正验证用户身份，所以系统会错误地授权给攻击者