一.SQL注入攻击原理
恶意用户在提交查询请求的过程中将SQL语句插入到请求内容中,同时程序本身对用户输入内容过分信任而未对恶意用户插入的SQL语句进行过滤,导致SQL语句直接被服务端执行。
二.SQL注入攻击分类
(1)注入点的不同分类
- 数字类型的注入
- 字符串类型的注入
(2)提交方式的不同分类
- GET注入
- POST注入
- COOKIE注入
- HTTP注入
(3)获取信息的方式不同分类
- 基于布尔的盲注
- 基于时间的盲注
- 基于报错的注入
三.SQL注入攻击防御方法
1.定制黑名单:将常用的SQL注入字符写入到黑名单中,然后通过程序对用户提交的POST、GET请求以及请求中的各个字段都进行过滤检查,筛选威胁字符。