大学课程《电力行业信息安全与攻防技术》教学PPT课件：[3.1]SQL注入的原理.pptxVIP

SQL注入的原理

任务导入任务目标任务讲解任务总结

任务导入

SQL注入攻击窃取敏感数据篡改电力系统参数造成重大事故

任务导入任务目标任务讲解任务总结

知识目标能力目标素养目标理解SQL注入的本质是数据库错误执行用户输入代码能够复现典型登录认证绕过漏洞的过程建立代码安全开发意识

任务导入任务目标任务讲解任务总结

典型案例注入攻击的本质，是数据库把用户输入的数据当做代码执行，SQL注入利用了开发者在构建动态SQL查询时未正确过滤、转义或验证用户输入的漏洞。当Web应用程序将用户提供的数据直接拼接到SQL查询中，而没有进行充分的验证和处理时，攻击者可以通过在输入中注入恶意的SQL代码来篡改、绕过或暴露数据库中的信息。

SQL注入假设前端有一个表单，输入账号密码进行登录：$username=$_POST[username];$password=$_POST[password];$sql=SELECT*FROMusersWHEREusername=$usernameANDpassword=$password;

正常情况下，用户若输入账号为“admin”,密码为123456后单击登录，那么将会执行这条SQL语句：SELECT*FROMusersWHEREusername=adminANDpassword=12