Web开发者经常使用自定义代码来提供动态网站的功能，但是这种代码存在着一定的风险，可能会使Web服务器带有大量漏洞和缺陷，尤其是把Web应用程序作为后台数据库交互接口时这一问题将特别危险。在本文中，我们将了解¬一种针对”数据库驱动”应用程序的攻击类型——SQL注入。了解SQL注入攻击是如何办到的，并从中获得一些提示、技巧和最佳做法来防止、避免和阻止SQL注入攻击。

　　SQL注入攻击是如何工作的？

　　攻击者通过SQL注入可以获得对于Web应用程序的控制权限，他们的办法是把结构化查询语言（SQL）代码以SQL查询语句的形式加入到Web表格输入框中，这实际上会在数据库上执行某种特定的操作。通常情况下，在用户身份验证期间，用户名和密码被输入或插入到查询中，然后用户可以被允许或拒绝访问，这取决于是否提交了正确的信息。Web论坛通常没有任何手段可以拒绝接收除了用户名和密码以外的其他输入，这意味着黑客可以通过使用输入框将请求发送到数据库的方法来发起SQL注入攻击，从而有可能让他们进入到Web应用程序中。

　　防止和避免SQL注入攻击

　　每一个组织都可以采取以下几个步骤来减少受到SQL注入攻击的可能性：

• 限制用户的访问权限：只让员工和用户能够获得他们工作所需的必要信息。
• 确保员工具备安全意识：确保参与了网站开发的员工（以及专门的Web开发人员）都知道SQL注入的威胁，并且知道如何保持公司服务器安全的最佳做法。
• 减少调试信息：当Web服务器遇到一个错误时，请确保详细的错误信息不会反馈给用户，因为这种信息可能会帮助黑客实施恶意行为，从而获得成功攻击服务器所需的信息。
• 测试Web应用程序：通过给Web服务器发送数据来测试Web应用程序和Web开发人员的工作。如果测试结果是出现了一个错误的信息，那么说明应用程序可能容易遭到SQL注入攻击。