数据库活动监控系列之SQL注入攻击是什么?
数据库活动监控系列之SQL注入攻击是什么?
全部回答
果你每天访问的网站需要登录,那么你的登录用户名和密码很可能是保存在关系数据库中,其他网站用户的登录信息也和你一起保存在数据库中,但愿你的密码保存前经过加密处理,如果是明文存储的话简直太可怕了。
不幸的是,有一些网站存在安全漏洞,攻击者可以通过一种叫做SQL注入的攻击技术窃取到存储在数据库中的密码信息。 更令人担忧的是,即使数据库打上所有补丁也不能避免这种攻击,这不是一个补丁问题,更多的与数据库工作方式及系统设计有关。
这种攻击可以针对任何包含来自数据库的数据的网页,如一个搜索页面,客户意见反馈页面,不管数据库是MySQL,SQL Server还是Oracle,都无法避免这种攻击,SQL注入攻击不仅是针对SQL Server的。
通常,在数据库中使用一个表来存储用户登录信息,这个表至少有两列,一列存储用户名(username),另一列存储密码(password),而表名通常会被取为users或类似的名字。
当用户在网站上提交他们的详细信息时,数据库将会解析username和password,然后转换为SQL字符串,发送给数据库,数据库引擎接收到的SQL类似:SELECT * FROM users WHERE username = 'fredsmith' AND password = 'userspassword'。
不幸的是,有一些网站存在安全漏洞,攻击者可以通过一种叫做SQL注入的攻击技术窃取到存储在数据库中的密码信息。 更令人担忧的是,即使数据库打上所有补丁也不能避免这种攻击,这不是一个补丁问题,更多的与数据库工作方式及系统设计有关。
这种攻击可以针对任何包含来自数据库的数据的网页,如一个搜索页面,客户意见反馈页面,不管数据库是MySQL,SQL Server还是Oracle,都无法避免这种攻击,SQL注入攻击不仅是针对SQL Server的。
通常,在数据库中使用一个表来存储用户登录信息,这个表至少有两列,一列存储用户名(username),另一列存储密码(password),而表名通常会被取为users或类似的名字。
当用户在网站上提交他们的详细信息时,数据库将会解析username和password,然后转换为SQL字符串,发送给数据库,数据库引擎接收到的SQL类似:SELECT * FROM users WHERE username = 'fredsmith' AND password = 'userspassword'。
热度TOP
-
早泄患者如果不及时治疗会有什么危害?
3人阅读
-
身上痒痒预示10种大病是哪些啊
38人阅读
-
广州人流去玛莱医院好不好?
453人阅读
-
徐州华美吸脂怎么样?
39人阅读
-
医院的任务是什么?
195人阅读
-
大岭山男科哪里看的好
0人阅读
相关推荐
加载中...