SQL-注入攻击.pptVIP

* * SQL 注入攻击 朱虹 华中科技大学计算机学院 问 题 1. 什么是SQL注入攻击？ 2. SQL注入攻击的分类？ 3. SQL注入攻击的危害？ 4. 常见的SQL 注入攻击的过程? 5. 怎样防止SQL注入攻击？ 6. 我们介绍SQL注入攻击的目的 1. 什么是SQL注入攻击？ 不够完整的定义: 脚本注入式攻击，恶意用户输入用来影响被执行的SQL脚本; 从一个数据库获得未经授权的访问和直接检索； 利用SQL语法，针对应用程序开发者编程中的漏洞，往应用程序中插入一些SQL语句，从而能够操作不可访问的数据的方法。 通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素，使得数据库服务器执行非授权的查询。 1. 什么是SQL注入攻击？ —— 一个实例 例1：现有的网络应用程序大多没有充分利用DBMS的身份验证功能，而是在数据库中建立一张表(例如表名为user_table)，保存访问应用系统的用户名及其密码，实际访问数据库服务器的只有一个用户。 当使用JSP(或ASP)编写一个简单的验证登录的网页程序时，该页面要求用户输入用户名(input_ username)和密码(input_password)。 提交后由后台应用程序通过拼接： select * from user_table where username = + input_ username + and