漏洞描述
SQL 注入攻击指的是通过构建特殊的输入作为参数传入网站应用程序,而这些输入大都是 SQL 语法里的一些组合,通过执行 SQL 语句进而执行攻击者所要的操作,其主要原因是网站应用程序没有细致地过滤用户输入的数据,致使恶意用户可以构造非法数据侵入系统。具体来说,它是利用现有应用程序,将恶意的 SQL 语句注入到后台数据库引擎执行的能力,它可以通过在 Web 表单中输入恶意 SQL 语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行 SQL 语句。
攻击者利用 SQL 注入漏洞,可以访问或者修改数据,用来从数据库中获取,敏感信息,或者利用潜在的特征执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统的最高权限,利用数据库漏洞进行攻击。