SQL注入攻击

SQL注入攻击原理:

就是利用sql语句中--后面是注释的原理,越权查看内容

例如:

web浏览器输入http://www.abc.com/search?stu_name='xiaohei'

实际调用数据库时,执行的SQL语句是select * from students where stu_name='xiaohei' and flag=1;

sql注入后:

web浏览器输入http://www.abc.com/search?stu_name='xiaohei'--

实际调用数据库时,执行的SQL语句是select * from students where stu_name='xiaohei' --and flag=1;

导致flag=1条件失效,这样就越权查到了stu_name下所有的信息.