3.1 SQL注入攻击前的准备

注入攻击是攻击者通过Web把恶意的代码传播到其他系统上，这些攻击包括系统调用（通过shell命令调用外部程序）和后台数据库调用（通过SQL注入）等。当一个Web应用程序通过HTTP请求把外部请求的信息传递给应用后台时，必须非常小心，否则注入攻击就可以将特殊字符、恶意代码或者命令改变器注入这些信息中，并传输到后台执行。

由于SQL注入是从正常的Web端口开展攻击的，而且看起来和一般的Web页面一样，所以目前防火墙无法发现SQL注入攻击。如果网站管理员没有查看IIS日志的习惯，则可能很长时间都发觉不了该注入攻击，所以SQL注入攻击是目前黑客比较喜欢的攻击方式。