1.1 知识要点与实验目标

1.1.1 SQL注入攻击

所谓SQL注入，就是利用SQL语法把SQL命令插入到Web表单或页面请求的查询字符串中，最终达到欺骗服务器以执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意的）SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

SQL注入能绕过其他层的安全防护并直接在数据库层上执行命令。当攻击者在数据库层内操作时，网站已经沦陷。

SQL注入攻击通过构建特殊的输入作为参数传入Web应用程序，而这些输入大多数是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作，致使非法数据侵入系统。

SQL注入攻击可能带来的危害有：

1）未经授权检索敏感数据（阅读）。

2）修改数据（插入/更新/删除）。

3）对数据库执行管理操作。

SQL注入是最常见（高严重性）的网络应用漏洞，并且这个漏洞是“Web应用层”缺陷，而不是数据库或Web服务器自身的问题。