SQL注入,由于程序在实际使用中,为了管理庞大的数据信息,就会使用到数据库。数据库可以方便程序对所有数据信息进行统一的存储和分类组织,便于查询更新。用户在使用程序时,程序可以自动通过对数据库的查询,将所获得的信息按照一定格式反馈给用户,同时用户也是通过交互式的对话框提交给程序数据,从而使程序按照用户想要的信息进行查询,反馈给用户想要的信息。
在网页设计中,多数人机交互操作都是利用表单来实现的,如果在设计过程中没有对用户输入数据的正当性进行判定的话,攻击者可以在文本框中提交一段SQL查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是SQL注入。
