本文主要介绍针对 PHP 网站的 SQL 注入攻击。所谓的 SQL 注入攻击,即一部分程序员在编写代码的时
候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询
代码,根据程序返回的结果,获得某些他想得知的数据。
AD
:
SQL 注入攻击(SQL Injection),是攻击者在表单中提交精心构造的 sql 语句,改动原来的 sql 语句,如
果 web 程序没有对提交的数据经过检查,那么就会造成 sql 注入攻击。
SQL 注入攻击的一般步骤:
1、攻击者访问有 SQL 注入漏洞的站点,寻找注入点
2、攻击者构造注入语句,注入语句和程序中的 SQL 语句结合生成新的 sql 语句
3、新的 sql
语句被提交到数据库中执行 处理
4、数据库执行了新的 SQL 语句,引发 SQL 注入攻击
实例
数据库
1.
CREATE
TABLE
`postmessage` (
2.
`id`
int
(11)
NOT
NULL
auto_increment,
3.
`subject`
varchar
(60)
NOT
NULL
default
”,
4.
`
name
`
varchar
(40)
NOT
NULL
default
”,