SQL注入可以出现在任何从系统或用户接收数据输入的前端应用程序中,这些应用程序之后被用于访问数据库服务器。
如果要对一个网站进行SQL注入攻击,首先就需要找到存在SQL注入漏洞的地方,也就是寻找所谓的注入点。
可能的SQL注入点一般存在于登录页面、查找页面或添加页面等用户可以查找或修改数据的地方。
通过操纵用户数据输入并分析服务器响应来寻找SQL注入漏洞。识别出异常后,我们需要构造一条有效的SQL语句来确认SQL注入漏洞。
网页中比较常见的几个功能点:
用户登录功能:当用户在登录表单中输入用户名和密码,并将此数据传递到后端处理时;
用户注册功能:类似于登录功能,如果在用户注册过程中未正确验证和过滤输入;
用户搜索功能:在搜索功能中,用户输入搜索词并将其传递给后端进行处理;
数据展示功能:在一些网页应用程序中,用户可以查看数据库中存储的数据;
参数传递功能:当网页应用程序将参数传递给后端处理时,如果未正确验证和过滤输入。
