sql的注入原理是？

sql的注入原理是？

<一>SQL注入简介
许多网站程序在编写时，没有对用户输入数据的合法性进行判断，
使应用程序存在安全隐患。用户可以提交一段数据库查询代码，

（一般是在浏览器地址栏进行,通过正常的www端口访问）
根据程序返回的结果，获得某些他想得知的数据，
这就是所谓的SQL Injection，即SQL注入。

SQL注射能使攻击者绕过认证机制，完全控制远程服务器上的数据库。SQL是结构化查询语言的简称，它是访问数据库的事实标准。目前，大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台都使用某种SQL数据库。跟大多数语言一样，SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话，用户数据就有可能被解释成命令，这样的话，远程用户就不仅能向Web应用输入数据，而且还可以在数据库上执行任意命令了。

<二>SQL注入思路
思路最重要
其实好多人都不知道SQL到底能做什么呢
这里总结一下SQL注入入侵的总体的思路
1. SQL注入漏洞的判断，即寻找注入点
2. 判断后台数据库类型
3. 确定XP_CMDSHELL可执行情况；若当前连接数据的帐号具有SA权限，
且master.dbo.xp_cmdshell扩展存储过程(调用此存储过程可以直接使用操作系统的shell)能够正确执行，则整个计算机可以通过几种方法完全控制，也就完成了整个注入过程
否则继续：
1. 发现WEB虚拟目录
2. 上传ASP木马；
3. 得到管理员权限

如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息，可以点下面链接进行举报！

点此我要举报以上问答信息