SQL注入及XSS攻击防御技术白皮书

SQL 注入：利用现有应用程序，将(恶意)的SQL 命令注入到后台数据库引擎执行的能力，这是SQL 注入的标准释义。随着 B/S 模式被广泛的应用，用这种模式编写应用程序的程序员也越来越多，但由于开发人员的水平和经验参差不齐，相当一部分的开发人员在编写代码的时候，没有对用户的输入数据或者是页面中所携带的信息（如Cookie）进行必要的合法性判断，导致了攻击者可以提交一段数据库查询代码，根据程序返回的结果，获得一些他想得到的数据。SQL 注入利用的是正常的HTTP 服务端口，表面上看来和正常的web 访问 没有区别，隐蔽性极强，不易被发现。