AQL的定義

SQL是操作數據庫數據的結構化查詢語言，網頁的應用數據和后臺數據庫中的數據進行交互時會采用SQL。而SQL注入是將Web頁面的原URL、表單域或數據包輸入的參數，修改拼接成SQL語句，傳遞給Web服務器，進而傳給數據庫服務器以執(zhí)行數據庫命令。

如Web應用程序的開發(fā)人員對用戶所輸入的數據或cookie等內容不進行過濾或驗證（即存在注入點）就直接傳輸給數據庫，就可能導致拼接的SQL被執(zhí)行，獲取對數據庫的信息以及提權，發(fā)生SQL注入攻擊。

SQL的特點：廣泛性、隱蔽性、危害性、操作方便。

SQL注入攻擊又是什么？

SQL注入攻擊通過構建特殊的輸入作為參數傳入Web應用程序，而這些輸入大都是SQL語法里的一些組合，通過執(zhí)行SQL語句進而執(zhí)行攻擊者所要的操作，它目前是黑客對數據庫進行攻擊的最常用手段之一。

SQL 注入帶來的威脅主要有如下幾點

猜解后臺數據庫，這是利用最多的方式，盜取網站的敏感信息。

繞過認證，列如繞過驗證登錄網站后臺。

注入可以借助數據庫的存儲過程進行提權等操作

整合自：CSDN猿小雪、百度百科

編輯：jq