SQL 注入攻击 涉及通过客户端输入到应用程序插入或"注入 "SQL 查询。 此类成功攻击可用于从数据库中读取敏感信息并修改或删除。 在最极端的情况下,它允许您发出系统命令。
以下是可用于执行 SQL 注射攻击的危险代码:
从用户姓名=用户名中选择*:
可变"用户名"从用户中检索。 如果攻击者将 "OR"1"=1" 命名为用户名,这将强制选择正确的用户名,因为 "1"="1"一词 始终是真实的。
您可以使用称为 sqlmap 的工具 来测试 sql 注射漏洞,该工具能够自动查找并使用注射 SQL 查询的操作。 它支持六 平方针技术:基于逻辑、盲项、基于错误 、UNION查询、累积查询和 OOB 攻击。 允许您攻击 MySQL、甲骨文、波斯特格雷斯QL、微软 SQL 服务器、微软访问、IBM DB2、SQLite、火鸟、Sybase、SAP MaxDB、HSQLDB 和 Informix 数据库。
下图显示了 使用 sqlmap的示例,该示例使用启发式测试检测到,在 正在测试的查询中,ID 参数可能容易受到 sql 注塑攻击。