近段时间以来的网络攻击似乎多了起来，很多站点无故被黑甚至换掉首页。绝大多数站点被攻击的原因大都是由于站点程序上的漏洞，由攻击者得到WebShell后进而提升权限得到服务器主机权限。然而得到WebShell的途径也就集中到SQL Injection的攻击手法上。什么是SQL 注入攻击呢？来自官方的诠释:当应用程序使用输入内容来构造动态 SQL 语句以访问数据库时，会发生 SQL 注入攻击。如果代码使用存储过程，而这些存储过程作为包含未筛选的用户输入的字符串来传递，也会发生 SQL 注入攻击。SQL 注入可能导致攻击者能够使用应用程序登录在数据库中执行命令。如果应用程序使用特权过高的帐户连接到数据库，这种问题会变得很严重。换句话说:SQL 注入攻击利用易受攻击的数据访问代码，并允许攻击者在数据库中执行任意命令。如果应用程序使用数据库中不受限制的帐户，由于攻击者可以更自由地执行查询和命令，因此受到的威胁会更大。值得注意的是，传统的安全措施（如使用 SSL 和 IPSec）不能防止 SQL 注入攻击

使数据访问代码容易受到 SQL 注入攻击的常见漏洞包括：
· 弱输入验证
· 在不使用类型安全的参数时动态构造 SQL 语句
· 使用特权过高的数据库登录

http://lams.blogchina.com/blog/article_47389.621926.html