仅为交流学习使用，请勿非法使用

sql注入

所谓的SQL注入就是通过把SQL命令插入到Web中，最终达到欺骗服务器执行指定的SQL语句。具体来说，将SQL语句注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入SQL语句得到一个存在安全漏洞的网站上的数据，而不是按照设计者意图去执行SQL语句。

SQL注入是指网络攻击的一种，在owasp中，一直没有掉出前十，是可以直接拿去到数据库中信息的一种攻击，根据相关的技术，SQL

注入分为平台层和代码层的注入，平台层是因为不安全的配置数据库所产生，代码层注入，是因为没有对于用户的输入未进行细致过滤，从而被非法的执行了非法的输入，所以在做安全行业的时候，一定要对于用户的输入为0信任的状态进行过滤。

1.数据库信息泄露：会影响到存放在数据库内的信息被泄露。

2.数据恶意篡改：对操作数据库对特定网页进行修改。

3.木马：传播恶意软件，修改数据库一些特定字段，嵌入木马，来对于其他用户，进行攻击。

4.数据库恶意操作：数据库被攻击，数据库管理员账号被修改等。

1.数字注入

2.字符串注入

1.用户的输入跟管理员进行严格区分

2.对用户输入的进行参数化过滤

3.对用户输入进行加强验证

4.多用数据库自带的安全参数