【wepro小教室】SQL注入攻擊

    SQL(Structured Query Language),即係「結構式查詢語言」,喺上世紀 70 年代開發,到而家都仲用緊。佢係用嚟查詢資料庫嘅程式設計語言,幫你喺猶如茫茫大海嘅資料庫中,搵到你所需要嘅資料,仲可以插入、查詢、更新同刪除資料,亦係網站中用嚟同資料庫溝通、取得資料嘅程式語言。無論前端、後端、App 開發,只要涉及到資料庫,幾乎都會用到 SQL。

    而 SQL 注入攻擊(SQL injection)係一種常見嘅黑客攻擊方式,發生喺網站、應用程式同資料庫之間嘅安全漏洞,只要網站有提供欄位畀使用者輸入資料,就會有 SQL 注入攻擊嘅風險。黑客透過修改 SQL 語句改變語意,可以成為 admin 之餘,更可以竊取企業及個人機密資料、帳戶資料及密碼,甚至可以偷偷喺網站中加入惡意連結。

    要避免受 SQL 注入攻擊,就一定要加強身分認證,只係畀少數必須存取關鍵資料庫嘅人,先可以有存取權限。