通過構建特殊的輸入作爲參數傳入web應用程序,而這些輸入大都是SQL語法裏的一些組合,通過執行SQL語句,進而執行攻擊者所要的操作。
當我們訪問動態網頁時,web服務器會向數據訪問層發起SQL查詢請求,如果極限驗證通過就會執行SQL語句。這種情況下的SQL請求一般不會有問題,但實際情況是很多時候需要結合用戶的輸入數據動態構建SQL語句,如果用戶輸入的數據被構造惡意SQL代碼,web應用又未對動態構造的SQL語句使用的參數排查,則有危險。
幾點威脅:
1、猜解後臺數據庫
2、繞過認證
3、注入數據庫過程中提權