第6章数据库系统安全技术讲解.pptVIP

6.1 SQL注入攻击 SQL注入简介 随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入 6.1 SQL注入攻击 SQL注入简介 现在很多的动态网页都会从该网页使用者的请求中得到某些参数，然后动态的构成SQL请求发给数据库 这种攻击的要诀在于将SQL的查询命令通过‘嵌入’的方式放入合法的HTTP提交请求中从而达到攻击者的某种意图。 6.1 SQL注入攻击 SQL注入简介 举个例子，当有某个用户需要通过网页上的用户登陆(用户身份验证)时，动态网页会将该用户提交上来的用户名与密码加进SQL询问请求发给数据库，用于确认该用户提交的身份验证信息是否有效。在SQL注入攻击的角度看来，这样可以使我们在发送SQL请求时通过修改用户名与/或密码值的‘领域’区来达到攻击的目的 6.1 SQL注入攻击 SQL注入简介 SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以市面的防火墙都不会对SQL注入发出警报，如果管理员没查看ⅡS日志的习惯，可能被入侵很长时间都不会发觉。 但是，