信息安全試題 什麽是sql註入漏洞

SQL是操作數據庫數據的結構化查詢語言，網頁的應用數據和後臺數據庫中的數據進行交互時會采用SQL。而SQL註入是將Web頁面的原URL、表單域或數據包輸入的參數，修改拼接成SQL語句，傳遞給Web服務器，進而傳給數據庫服務器以執行數據庫命令。如Web應用程序的開發人員對用戶所輸入的數據或cookie等內容不進行過濾或驗證(即存在註入點)就直接傳輸給數據庫，就可能導致拼接的SQL被執行，獲取對數據庫的信息以及提權，發生SQL註入攻擊。

SQL註入漏洞有什麽特點?

1、廣泛性：任何壹個基於SQL語言的數據庫都可能被攻擊，很多開發人員在編寫Web應用程序時未對從輸入參數、Web表單、Cookie等接受到的值進行規範性驗證和檢測，通常會出現SQL註入漏洞。

2、隱蔽性：SQL註入語句壹般都嵌入在普通的HTPP請求中，很難與正常語句區分開，所以當前許多防火墻都無法識別予以警告，而且SQL註入變種極多，攻擊者可以調整攻擊的參數，所以使用傳統的方法防禦SQL註入效果非常不理想。

3、危害大：攻擊者可以通過SQL註入獲取到服務器的庫名、表名、字段名，從而獲取到整個服務器中的數據，對網站用戶的數據安全有極大的威脅。攻擊者也可以通過獲取到的數據，得到後臺管理員的密碼，然後對網頁頁面進行惡意篡改。這樣不僅對數據庫信息安全造成嚴重威脅，對整個數據庫系統安全也有很大的影響。

4、操作方便：互聯網上有很多SQL註入工具，簡單易學、攻擊過程簡單，不需要專業的知識也可以自如運用。

上一篇:新城疫疫苗哪個牌子好

下一篇:信息系統戰略規劃方法-之壹