SQL注入攻击原理和攻击实例.docVIP

SQL注入攻击原理和攻击实例 摘要： 随着网络技术的迅猛发展，计算机网络已经成为人们工作生活中的重要组成部分，在各个领域迅速普及，整个社会对其的依赖程度越来越大。随着网路安全的增强，单一方法的渗透测试已经不能满足远程渗透的需要。更为有效的远程渗透测试采用的是渐进式的综合攻击技术，突破内网提取目标主机的权限，以最终获取机密资料。因此SQL注入攻击为主的web脚本攻击作为进入内网的首选，成为黑客渗透测试中重要的技术之一。关键字： SQL注入， IIS 防范 什么是SQL注入攻击 SQL注入（Structured Query Language Injection）技术在国外最早出现在1999年，我国在2002年后开始大量出现，目前没有对SQL注入技术的标准定义，微软中国技术中心从2个方面进行了描述： （1）脚本注入式的攻击 （2）恶意用户输入用来影响被执行的SQL脚本 SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到执行恶意的SQL命令根据程序返回的结果，获得某些想得知的数据随着B/S模式应用开发的发展， 2、系统对用户输入的参数不进行检查和过滤，没有对用户输入数据的合法性进行判断，或者程序中本身的变量处理不当，使应用程序存在安全隐患。 3、因为SQL注入主要是针对web应用程序提交数据库查询请求的攻击，与正常的