什麼是SQL注入 SQL注入的特點和危害是什麼？

1、廣泛性：任何基於SQL語言的資料庫都可能受到攻擊，很多開發者在編寫Web應用時，不會對輸入引數、web表單、cookie等接收到的值進行規範的驗證和檢測，經常會出現SQL注入漏洞。

2.隱蔽性：SQL注入語句一般嵌入在普通的HTPP請求中，很難與普通語句區分開來，所以目前很多防火牆都無法識別和預警，而且SQL注入的變種很多，攻擊者可以調整攻擊的引數，所以使用傳統方法防禦SQL注入的效果非常不理想。

3、危害大：攻擊者可以通過SQL注入獲取伺服器的資料庫名稱、表名、欄位名稱，從而獲取整個伺服器中的資料，對使用者的資料安全造成很大威脅。 攻擊者還可以通過獲取到的資料獲取後端管理員的密碼，然後惡意篡改網頁。

這不僅對資料庫資訊的安全構成嚴重威脅，而且對整個資料庫系統的安全性也有很大的影響。

4、操作簡單：網上有很多SQL注入工具，好學易學，攻擊過程簡單，無需專業知識即可自由使用。

SQL注入攻擊的主要特徵：

1.有很多變體。

有經驗的攻擊者會手動調整攻擊的引數，使攻擊資料不可列舉，導致傳統的特徵匹配方法只能識別極少數的攻擊。 或者最常規的攻擊，很難預防。

2.簡單的攻擊。

攻擊過程簡單，網際網絡上有很多流行的SQL注入攻擊工具，攻擊者借助這些工具可以快速攻擊或摧毀目標，這是非常有害的。

3.極具危害性。

由於Web語言本身的缺點，以及具有安全程式設計的開發人員數量少，大多數Web應用系統都有被SQL注入攻擊的可能，一旦攻擊者攻擊成功，就可以對整個Web應用系統的資料進行任何修改或竊取， 破壞力已經到了極致。

SQL注入攻擊的危害。

1.擅自操縱資料庫中的資料。

2.惡意篡改網頁內容 登入後台後，也可以發布更新到首頁，這時候更新可能是一些非法資訊，也可以給系統新增賬號或資料庫賬號。 這需要 Web shell 或更高的許可權。

3. 未經許可新增系統賬號或資料庫使用者賬號。

4. 網路木馬 在獲取 Web shell 或獲得伺服器許可權後，我們會在伺服器上掛一些網路木馬來攻擊其他木馬。 即使在嚴重的情況下，我們也可以控制整個Web伺服器，這是非常危險的。

SQL注入攻擊是一種利用程式設計師在開發過程中操作資料庫的低階錯誤的攻擊。

執行此操作的主要方法是使用串聯字串來實現某些操作。

然而，檔案拆毀的攻擊顯然已經過時了，尤其是在LINQ推出之後，已經正式退出了歷史舞台。

SQL注入是一種注入攻擊，是由於在讀取資料時錯誤地將資料作為資料的一部分執行而沒有與專案中的資料隔離而引起的。

如何處理 SQL 注入？ 三個方面：

1、對使用者輸入引數中的特殊字元進行過濾，降低風險;

2、禁止通過字串連線SQL語句，嚴格使用引數繫結傳入引數;

3、合理利用資料庫框架提供的機制。

隨著BS模式應用開發的發展，越來越多的程式設計師使用這種模式編寫應用。 但是，由於程式設計師的水平和經驗參差不齊，相當多的程式設計師在編寫**時沒有判斷使用者輸入資料的合法性，這使得應用程式存在安全風險。 使用者可以提交資料庫查詢 **，root。

根據程式返回的結果，他得到了一些他想知道的資料，這叫做SQL注入，也就是SQL注入。

SQL注入是從普通的www埠訪問的，看起來和一般的網頁訪問沒什麼區別，所以目前市面上的防火牆不會對SQL注入發出告警，如果管理員沒有檢視IIS日誌的習慣，可能被入侵的時間長了都不會被注意到。 但是，SQL注入的方法相當靈活，注入時會出現許多意想不到的情況。 您能否分析具體情況並構建巧妙的 SQL 語句以成功獲得所需的資料？

據統計，超過70%的人使用ASP+Access或SQLSer，PHP+Mysq佔L20%，其他的不到10%。

所謂SQL注入，就是在Web表單中插入SQL命令提交或輸入網域名稱或頁面請求的查詢字串，最後欺騙伺服器執行惡意SQL命令。 具體來說，它能夠利用現有應用程式並將（惡意）SQL 命令注入後端資料庫引擎進行執行，這些命令可以在 Web 表單中輸入。