SQL注入攻击

一、漏洞描述 针对SQL注入的攻击行为可描述为通过在用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。 二、攻击场景及形成原因 漏洞成因可以归结为以下两个原因叠加造成的: 1. 程序编写者在处理应用程序和数据库交互时,使用字符串拼接的方式构造SQL语句。 2. 未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。 SQL注入的攻击方式根据应用程序处理数据库返回内容的不同,可以分为可显注入、报错注入和盲注 报错和回显注入显而易见,盲注有时容易被忽略: 在页面无返回的情况下,攻击者也可以通过例如延时等技术来实现发现和利用注入漏洞:select 1 from te where if((MID(version ......