什么是SQL注入

SQL注入即是指web应用程序对用户输出数据的合法性没有判断或过滤不严,攻击者能够在web应用程序中当时定义好的查问语句的结尾上增加额定的SQL语句,在管理员不知情的状况下实现非法操作,以此来实现坑骗数据库服务器执行非受权的任意查问,从而进一步失去相应的数据信息。(百度百科)

其实简略说就是,在输出零碎要求的内容之外,又增加了额定的内容,造成返回数据数据库返回谬误内容,从而给攻击者提供可乘之机

接下应用mysql进行阐明

数据库操作演示

首先我曾经在数据库建好一张表test_02,数据内容如下:

以id=1的数据为例

  • 如果name='wdm' and password='0704',那么是能够正确返回这条数据的,这里就模仿wdm用户登录胜利

  • 如果name='wdm' and password='1111' or '1'='1'.能够看到,其实这里对于用户wdm来说,明码曾经输出谬误.但因为前面有一个or '1'='1'这个恒为真的语句并且应用or 一真为真,同假为假,数据库表却返回了正确的后果. 如果说这是一个登录操作,此时用户就曾经登录胜利了.这显示不是咱们想要的成果