《网络攻防技术》课件——第二章 SQL注入.pptxVIP

《SQL注入漏洞》《网络攻防技术》

SQLSQL注入漏洞SQL全称是StructuredQueryLanguage，是一种结构化的查询语言，用于与数据库进行交互并能够被数据库解析。

SQL注入漏洞概述SQL注入漏洞SQL注人漏洞是指攻击者通过浏览器或者其他客户端将恶意SQL语句插入到网站参数中,而网站应用程序未对其进行过滤,将恶意SQL语句带入数据库使恶意SQL语句得以执行,从而使攻击者通过数据库获取敏感信息或者执行其他恶意操作。

SQL注入概述SQL注入漏洞

SQL注入分类方式SQL注入漏洞1、参数类型分类数字型注入：输入参数为整型时，如Id、年龄和页码等；字符型注入：输入参数为字符串型时，如姓名、职业、住址等；两者最大的区别：字符型注入一般要使用单引号进行闭合，而数字型注入则不需要用单引号引起来；

SQL注入分类方式SQL注入漏洞2、根据数据提交给服务器的方式GET型注入：注入字符在URL参数中；POST型注入：注入字段在POST提交的数据中；

GET型SQL注入SQL注入漏洞关于GET型的注入，通常攻击者直接在URL参数中输入恶意指令，恶意指令则以GET方式提交给服务器。如果Web应用没有过滤用户输入，直接将用户输入提交给后台数据库执行，同样会造成注入后果。

POST型SQL注入SQL注入漏洞关于POST型注入，通常网