web安全之sql注入

什么是sql注入？

如何理解sql注入

sql注入是一种将sql代码添加到输入参数中，传递到sql服务器解析并执行的一种攻击手法

其实就是输入的参数未经过滤，直接参与到sql语句的执行，达到预想之外的行为就可以称为sql注入攻击

 

sql注入如何产生的？

1.web开发人员无法保证所有的输入都已经过滤

2.攻击者利用发送给sql服务器的输入数据构造可执行的sql代码

3.数据库未做相应的安全配置

 

如何寻找sql注入漏洞？

get请求就是在入参的时候改变入参

post请求就是在请求头，UA，或者请求体中修改参数，或者ip,cookie