（一）SQL注入的学习路线

一，SQL注入的基本原理

动态网站运作过程



网站运作过程




什么是SQL注入


SQL注入(SQL Injection) 即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。

总结：
1、是一种将SQL语句插入或添加到应用(用户)的输入参数中的攻击;
2、这些参数传递给后台的SQL数据库服务器加以解析并执行;

SQL注入的危害

绕过登录验证：使用万能密码登录网站后台等。
获取敏感数据：获取网站管理员帐号、密码等。
文件系统操作：列目录，读取、写入文件等。
注册表操作：读取、写入、删除注册表等。
执行系统命令：远程执行命令。


SQL注入危害-登录验证绕过


某高校招聘录入系统登录框存在SQL注入漏洞：








SQL注入的危害-数据盗取

2018年6月：A站被“脱裤”
2018年6月13日凌晨，国内知名二次元网站AcFun（简称A站）发布公告称，因受黑客攻击，导致近千万条用户数据泄露，泄露的数据包括：用户名、ID、密码（密码被加密过，非明文）等。







徐玉玉电信诈骗案