2003年开始，喜欢脚本攻击的人越来越多，而且研究ASP下注入的朋友也逐渐多了起来，我看过最早的关于SQL注入的文章是一篇99年国外的高手写的，而现在国外的已经炉火纯青了，国内才开始注意这个技术，由此看来，国内的这方面的技术相对于国外还是有一段很大差距，话说回来，大家对SQL注入攻击也相当熟悉了，国内各大站点都有些堪称经典的作品，不过作为一篇完整的文章，我觉得还是有必要再说说其定义和原理。如果哪位高手已经达到炉火纯青的地步，不妨给本文挑点刺。权当指点小弟。

互联网的攻击形式千万种，威胁最大的独一份，就是SQL注入了！由于它的危害之大，它也成为了每一个运维工程师为客户部署业务系统前必做的防御。

问题来了，对接我们的客户大多数技术钻研不是很”深刻“，我们经常因为跟客户的技术沟通而抓狂！作为运维侠的我们该如何向非技术同学通透白话的解释SQL注入呢？

最早的sql注入，能追溯到1998年，所以这个攻击方式，也已经有二十个年头了。

那么为什么会发生SQL注入，一个重要的原因就是拼接参数造成的。

假设有这么一条sql语句

SELECT * FROM users WHERE '$var' = 'xxx';

专注于Java领域优质技术号，欢迎关注

前一段时间安全部门测出某个程序存在sql注入漏洞，在我原来潜意识中一直认为构造危险的 sql 语句是相对较难的，所以没有绷紧神经，总认为就算存在漏洞，也很难被实际攻击，总抱有侥幸心理，但这次事件却给了我很大一个教训。