SQL 注入以及查询字符串的相关操作被广泛认为是侵入使用传统关系数据库的网络或系统的最流行方法之一。(请阅读当 SQL 不够时:对大规模新数据中心的控制。)
有许多的原因。首先,使用 SQL 注入来获取对数据库内容的未授权访问不需要任何特殊工具。其次,它可以通过互联网完成。
通过操纵从网络表单到主机系统的查询字符串,黑客可以做各种各样的事情,包括让数据库转储其数据。只要这些传入输入没有经过正确的身份验证和验证,就可以非常轻松地远程进入数据库。
您不必破解密码或找出加密方法或其他任何方法 - 黑客只需输入更改后的查询语句并在系统中肆意妄为。
此外,正如一些专家指出的那样,黑客可以通过仔细研究对数据库进行指纹识别。在许多情况下,弄清楚网络正在使用什么类型的数据库相对容易,而且这一切都可以从任何连接的计算机上完成。
本质上,查询字符串操作就像向字符串添加字母数字字符一样简单。这是最简单、最直接和最有效的数据库黑客攻击类型之一。将此与拒绝服务攻击或勒索软件攻击(两者都需要复杂的规划)进行对比,您就会明白为什么 SQL 注入如此流行。(阅读企业应如何应对勒索软件攻击?)
有多种方法可以将黑客拒之门外——禁用 SQL 注入,但漏洞如此普遍,以至于它们对黑客来说是一扇敞开的谷仓门。欺骗和社会工程也很流行,但 SQL 注入甚至不需要黑客欺骗任何人类用户!它只涉及寻找正确的压力点并使用它。
上一篇我们送上的文章是
函数和函子有什么区别? , _!在下一篇继续做详细介绍,如需了解更多,请持续关注。
本文由
日本NEC锂电池中国营销中心于2023-07-16 17:35:54 整理发布。
转载请注明出处.