本文介绍了SQL语言的基础知识及其在数据库管理中的应用,并详细探讨了SQL注入攻击的工作原理、实际案例及潜在危害。
SQL简介:
SQL是高级的非过程化编程语言,它允许用户在高层数据结构上工作。它不要求用户指定对数据的存放方法,也不需要用户了解其具体的数据存放方式。而它的界面,能使具有底层结构完全不同的数据库系统和不同数据库之间,使用相同的SQL作为数据的输入与管理。它以记录项目〔records〕的合集(set)〔项集,record set〕作为操纵对象,所有SQL语句接受项集作为输入,回提交的项集作为输出,这种项集特性允许一条SQL语句的输出作为另一条SQL语句的输入,所以SQL语句可以嵌套,这使它拥有极大的灵活性和强大的功能。在多数情况下,在其他编程语言中需要用一大段程序才可实践的一个单独事件,而其在SQL上只需要一个语句就可以被表达出来。这也意味着用SQL可以写出非常复杂的语句。数据库分为关系型数据库,非关系型数据库和键值数据库
- 关系型数据库 :
MySQL
PostgreSQL
Microsoft Access
Microsoft SQL Server
Google Fusion Tables
FileMaker
Oracle数据库
Sybase
dBASE
Clipper
FoxPro
几乎所有的数据库管理系统都配备了一个开放式数据库连接(ODBC)驱动程序,令各个数据库之间得以互相集成。 - 非关系型数据库
主条目:NoSQL
BigTable(Google)
Cassandra
MongoDB
CouchDB - 键值(key-value)数据库
Apache Cassandra
Dynamo
LevelDB(Google)
关于SQL注入
- SQL注入万变不离其宗,最后都是以盗取数据库中数据为目的。
- 简称注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏或是入侵。
有部分人认为SQL注入攻击是只针对Microsoft SQL Server而来,但只要是支持批处理SQL指令的数据库服务器,都有可能受到此种手法的攻击。 - 作用原理
1、SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字符为不同命令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等的条件式)
2、SQL命令对于传入的字符串参数是用单引号字符所包起来。(但连续2个单引号字符,在SQL数据库中,则视为字符串中的一个单引号字符)
3、SQL命令中,可以注入注解(连续2个减号字符 – 后的文字为注解,或“/”与“/”所包起来的文字为注解)
4、因此,如果在组合SQL的命令字符串时,未针对单引号字符作替换处理的话,将导致该字符变量在填入命令字符串时,被恶意窜改原本的SQL语法的作用。
举例:
某个网站的登录验证的SQL查询代码为:
strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"恶意填入userName = "1' OR '1'='1";与passWord = "1' OR '1'='1";时,将导致原本的SQL字符串被填为
strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"也就是实际上运行的SQL命令会变成下面这样的
strSQL = "SELECT * FROM users;"因此达到无账号密码,亦可登录网站。所以SQL注入攻击被俗称为黑客的填空游戏。
- 由此我们可以看出,这个问题的严重性,特别是对带有VIP会员的中下企业。
对于个人来说,机密数据泄露,账户数据和密码更是无所遁形。
- 近些年相关的入侵事件:
003年骤雨计划
2010年澳大利亚网络攻击
2010年偿还行动
2011年DigiNotar黑客入侵事件
2011年突尼斯行动
2011年PSN个人信息泄露事件
2011年反安全行动
2012–2013年斯特拉特福公司电邮泄露事件
2012年领英黑客入侵事件
2013年南韩网络攻击
2013年Snapchat黑客入侵事件
2014年Tovar行动
2014年日本文殊核电站电脑病毒事件
2014年名人照片泄露事件
2014年心脏出血漏洞
2014年破壳漏洞
2014年贵宾犬漏洞
2014年索尼影业黑客入侵事件
2015年FREAK漏洞
2015年美国联邦人事管理局资料外泄案
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
