SQL注入

原文链接： https://www.cnblogs.com/rush/archive/2011/12/31/2309203.html

关于SQL的注入问题，首先需要明确什么是SQL注入，SQL注入的原理是什么，以及如何根据这个漏洞进行攻击，和对其进行防护的方法。

 SQL注入：

【百科】SQL注入，就是通过把SQL语句插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有的应用程序，将恶意的SQL命令注入到后台数据库引擎的能力，它可以通过在Web表单中输入恶意SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

原理：

通过构建特殊的输入作为参数传入Web应用程序，而这些输入大多都是SQL语法里的一些组合，通过执行SQL语句进行执行攻击者所进行的操作；主要原因是程序没有细致的过滤用户输入的数据，致使非法数据侵入系统。

关于SQL注入原理的详细解释，如何进行SQL注入，以及怎样对其进行防范，可以参看一下网上的博客：网络攻击技术开篇——SQL Injection。

【百度百科】SQL注入