网络安全攻防：Web安全之SQL注入

       几乎所有 Web 应用程序都依赖数据库来管理在应用程序中处理的数据。在许多情况下，这些数据负责处理核心应用程序逻辑，保存用户账户、权限、应用程序配置设置等。大多数数据库都保存有结构化、可以使用预先定义的查询格式或语言访问的数据，并包含内部逻辑来管理这些数据。本文介绍SQL注入攻击如何利用语言的漏洞来获取数据库中的数据。

       SQL语言是一门解释型语言。所谓的解释型语言就是一种在运行时由一个运行时组件（runtime component）解释语言代码并执行其中指令的语言。与之相对的还有编译型语言，它的代码在生成时转换成机器指令，然后在运行时直接由使用该语言的计算机处理器执行这些指令。

       从理论上讲，任何语言都可以使用编译器或解释器来执行，这种区别并不是语言本身的内在特性。但大多数语言仅通过上述一种方法来执行，SQL语言就是这样。

      基于解释型语言的执行方式，会产生一系列叫作代码注入的漏洞，SQL注入就是其中的一种。在任何实际用途的Web应用程序都会有用户交互环节，会收到用户提交的数据，对其进行处理并执行相应的操作。因此，解释器处理的数据其实是由程序员编写的SQL语句代码和用户提交的数据共同组成的。在这个时候，攻击者可以提交专门设计过的 SQL 语句，向Web应用程序攻击。结果，解释器就会将这其中一部分的输入解释成程序指令执行，就像一开始程序员编写的代码一样。因此，SQL注入漏洞就随之形成了。

       除了语言本身的原因，SQL注入产生的另一个原因就是未过滤问题。在编写Web应用时，由于其自主访问控制的性质，程序员往往会对用户输入的信息进行一定程度上的过滤操作，过滤掉一些危险的字符，如or、单引号、注释符等。但往往有些经验不足的程序员会忽视这一问题，只是进行简单的过滤，从而让攻击者有机可乘。

       免费云waf的goodwaf可以对SQL攻击起到简单防御的作用，而且不需要任何部署，操作简单

        在解析域名后，进入后台，将设定防SQL注入勾选上，goodwaf开启防御功能

        云waf相当于web应用前的保护网，当正常流量与异常流量同时进行访问时，云waf会筛选并抵御异常流量，保护web应用安全