sql注入的攻擊原理是什麼

SQL注入式攻擊的主要形式有兩種。

1、直接注入式攻擊法

直接將代碼插入到與SQL命令串聯在一起並使得其以執行的用户輸入變量。由於其直接與SQL語句捆綁，故也被稱為直接注入式攻擊法。

2、間接攻擊方法

它將惡意代碼注入要在表中存儲或者作為原數據存儲的字符串。在存儲的字符串中會連接到一個動態的SQL命令中，以執行一些惡意的SQL代碼。注入過程的工作方式是提前終止文本字符串，然後追加一個新的命令。如以直接注入式攻擊為例。就是在用户輸入變量的時候，先用一個分號結束當前的語句。然後再插入一個惡意SQL語句即可。由於插入的命令可能在執行前追加其他字符串，因此攻擊者常常用註釋標記“—”來終止注入的字符串。執行時，系統會認為此後語句位註釋，故後續的文本將被忽略，不背編譯與執行。