¿Qué es la inyección SQL?

El ataque de inyección SQL es un método para modificar declaraciones SQL manipulando la entrada para ejecutar código y atacar el servidor WEB.

En pocas palabras, es el proceso de insertar comandos SQL en el formulario post/getweb, el nombre de dominio de entrada o la cadena de consulta de la solicitud de página y, en última instancia, hace que el servidor web ejecute comandos maliciosos. .

Los ataques de inyección SQL se pueden explicar brevemente mediante un ejemplo. Supongamos que cuando se muestra la página de un sitio web, la URL es?test=123. En este momento, la URL en realidad pasa la prueba variable con un valor de 123 al servidor, lo que indica que la página actual es el resultado de una consulta dinámica. a la base de datos. A partir de esto, podemos insertar sentencias SQL maliciosas en la URL y ejecutarlas.

Además, durante el proceso de desarrollo del sitio web, los desarrolladores utilizan cadenas dinámicas para construir declaraciones SQL para crear las aplicaciones requeridas. En este caso, las declaraciones SQL se construyen y utilizan dinámicamente durante la ejecución del programa. Se pueden generar diferentes declaraciones SQL de acuerdo con diferentes condiciones, como consultar campos en la base de datos de acuerdo con diferentes requisitos. Este tipo de proceso de desarrollo en realidad deja muchas oportunidades para ataques de inyección SQL.