SQL注入式攻击原理

    这几天牛奶产品的三聚氰胺事件曝光后，三鹿，蒙牛等奶制品网站纷纷被黑客攻破和入侵，而他们采用攻击方式几乎都是采用的SQL注入式攻击。这个SQL注入式攻击到底是什么？它是依靠什么原理对这些网站进行了入侵呢？

     其实SQL注入式攻击，就是黑客从正常的网页端口对网页进行访问，但是当遇到网页需要查询数据库时，通过输入一些含有数据库保留语句的一些特殊内容，比如一些构造巧妙的SQL语句。让SQL数据库无法正确执行其查询命令，从而导致被黑客利用的一种入侵方式。举个例子，当用户在访问某网站时，该网站的一个页面地址为“https://xxx.xxx.xxx/abc.asp?id=YY”这种形式时，就说明该网页是带有参数的ASP动态网页，其中YY就是进行SQL命令的参数，此时你可以将YY替换成其他参数进行输入，比如一些含执行命令的语句。当你修改了参数的链接被提交给SQL数据库时，数据库就可能优先执行该参数里的执行代码，从而导致被黑客利用，一般来说黑客都是通过这种方式获取网站后台SQL的管理员密码，从而登录到网站后台为所欲为。

     一般来说基于ASP.NET开发的网站都存在SQL注入式攻击的可能，因为直接向数据库输入参数这种方式本来就很危险，不过只要网站开发者和管理员对SQL注入式攻击有所了解，即可很轻松的预防这种攻击。比如在需要进行数据库查询、添加和删除等功能的动态页面中，添加一些判断输入内容是否正常的小程序，比如要求提交内容不能包含在SQL语句中有特殊含义的符号和保留字。或者对执行查询的数据库账户，进行权限限制，防止黑客获得管理员权限。

     SQL注入式攻击，对于一般的没防范小网站有效，对于一些做了防备的网站就无用了。

声明：欢迎各大网站转载本站文章，还请保留一条能直接指向本站的超级链接，谢谢！

时间:2008-10-21 08:51:52,点击:65824