SQL injection là gì?
Phrase
Mysql
- ★
- ★
- ★
- ★
- ★
Là kỹ thuật lợi dụng lỗ hổng bảo mật, hacker thực hiện một cuộc tấn công tạo ra các hành động lạ bằng cách đặt các câu lệnh SQL bất hợp pháp. SQL injection có thể cho phép những kẻ tấn công thực hiện các thao tác, delete, insert, update, v.v. trên cơ sở dữ liệu của ứng dụng.
Dạng thường gặp là không kiểm tra ký tự đầu vào xảy ra khi thiếu đoạn mã kiểm tra dữ liệu đầu vào (vd: dữ liệu text). Và hacker có thể thực hiện SQL bất hợp pháp.
statement = "SELECT * FROM users WHERE user_name = '" + user_name + "';"
Ở câu truy vấn trên, nếu hacker nhập vào user_name là : a' or 't'='t câu lệnh trờ thành
SELECT * FROM users WHERE user_name = 'a' or 't'='t';
Như vậy Hacker đã lấy được tất cả thông tin của người dùng trên hệ thống. Learning English Everyday