随着Web应用的高速发展和技术的不断成熟，对Web开发相关职位的需求量也越来越大，越来越多的人加入了Web开发的行列。但是由于程序员的水平参差不齐或是安全意识太低，很多程序员在编写代码时仅考虑了功能上的实现，很少或是根本没有考虑应用的安全性问题。这就导致了很多应用都存在不同程度的安全漏洞。SQL注入便是其中的一种。

SQL注入作为一种很流行的攻击手段，一直以来都受到网络安全研究者和黑客们的广泛关注。那什么是SQL注入呢？SQL注入是这样一种攻击技术：攻击者通过把恶意SQL命令插入到Web表单的输入域或页面请求的查询字符串中，来达到欺骗服务器执行恶意的SQL命令的一种攻击方式。

SQL注入攻击概述

SQL注入（SQL Injection）定义

SQL注入是攻击者通过把恶意SQL命令插入到Web表单的输入域或页面请求的查询字符串中，来达到欺骗服务器执行恶意的SQL命令的一种攻击方式。

SQL注入攻击危害

利 用SQL注入漏洞，攻击者可以操纵数据库的数据（如得到数据库中的机密数据、随意更改数据库中的数据、删除数据库等等），在得到一定权限后还可以挂马，甚 至得到整台服务器的管理员权限。由于SQL注入是通过网站正常端口（通常为80端口）来提交恶意SQL语句，表面上看起来和正常访问网站没有区别，如果不 仔细查看WEB日志很难发现此类攻击，隐蔽性非常高。一旦程序出现SQL注入漏洞，危害相当大，所以我们对此应该给予足够的重视。

SQL注入漏洞原理

SQL注入的本质是恶意攻击者将SQL代码插入或添加到程序的参数中，而程序并没有对传入的参数进行正确处理，导致参数中的数据会被当做代码来执行，并最终将执行结果返回给攻击者。
我们来看一个例子，当访问时，在页面上会显示一篇id号为3的文章，在服务器端实际上会执行如下一段代码，如图1所示：

 
图1

上面的过程中实际执行的SQL语句如下：