SQL注入简介
- SQL注入的历史地位:
- SQL注入的原理:
- SQL的防范措施:
- 总结:
SQL注入的历史地位:
SQL注入技术是WEB安全史上的一个转折点,在SQL技术兴起之前,黑客的主要攻击对象是系统软件,在黑客与安全防护人员的博弈中,针对于系统软件的安全措施逐步完善,使得黑客很难成功得手;同时,Web服务器的广泛应用以及对于Web几乎没有安全防护,使得这片领域几乎成为了黑客的一片“蓝海”。在这样的历史条件下,SQL注入技术的发现及广泛传播,标志着网络安全开辟了另一个主战场——Web,也给网络安全防护造成了重大打击,因为SQL注入技术的攻击方式多样、前期没有防范等原因,SQL注入对于程序员们来讲是一个噩梦,他们只能夜以继日的不断修改每一处可能被黑客攻击的位置,直到现在也是Web安全的大敌。
SQL注入的原理:
SQL注入其实就是黑客通过Web输入一些恶意字段,这些恶意字段在SQL服务器中运行,黑客在这样不断的尝试中收集信息,甚至能提权。
根据其原理,SQL注入有两个必要条件:
-
黑客能输入数据到数据库,并且在输入的数据之中嵌入SQL命令。
-
恶意代码没有被过滤,并且与原本的SQL语句拼接没有逻辑错误。
SQL的防范措施:
根据SQL注入的方法和原理,对于SQL的防范主要有以下几个方面:
- 对于一些敏感信息,如:报错信息等,不进行信息的返回,这也就大大提升了黑客进行信息收集的难度。可是正所谓:“道高一尺,魔高一丈” 。很快盲注的发明又给了黑客们可乘之机。
- 对于一些关键字进行过滤,这也起到了一定的作用。但是SQL的语句如此之多,黑客躲避过滤的方法也层出不穷,
总结:
SQL注入至今也是所有漏洞中非常高频出现的,并且没有一劳永逸的防御方法。唯有不断地与黑客“斗法”,才能有效防范此漏洞。
