本文主要介绍针对 PHP 网站的 SQL 注入攻击。所谓的 SQL 注入攻击，即一部分程序员在编写代码的时
候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询
代码，根据程序返回的结果，获得某些他想得知的数据。

AD  

：

SQL 注入攻击(SQL Injection)，是攻击者在表单中提交精心构造的 sql 语句，改动原来的 sql 语句，如
果 web 程序没有对提交的数据经过检查，那么就会造成 sql 注入攻击。

SQL 注入攻击的一般步骤:

1、攻击者访问有 SQL 注入漏洞的站点，寻找注入点

2、攻击者构造注入语句，注入语句和程序中的 SQL 语句结合生成新的 sql 语句

3、新的 sql

 

语句被提交到数据库中执行 处理

4、数据库执行了新的 SQL 语句，引发 SQL 注入攻击

实例

数据库

1.

CREATE

 

TABLE

 `postmessage` (  

2.

`id` 

int

(11) 

NOT

 

NULL

 auto_increment,  

3.

`subject` 

varchar

(60) 

NOT

 

NULL

 

default

 ”,  

4.

`

name

` 

varchar

(40) 

NOT

 

NULL

 

default

 ”,