Sql Injection در نرم افزار SqlServer به چه معنا میباشد؟

چکیده :

Sql Injection در نرم افزار SqlServer به چه معنا میباشد؟



 SQL Injection یک نوع حمله با استفاده از ارسال یک رشته(String) حاوی کد مخرب به SQL Server Instance می باشد. کد مخرب حاوی یک دستور معتبر SQL  است که به طور طبیعی توسط SQL سرور اجرا می شود.
فرم اولیه این نوع حمله شامل درج یک دستور SQL در مقادیری است که توسط برنامه از کاربر دریافت می شود. به طور مثال فرض کنید برنامه نام یک طرف حساب را دریافت و لیست سفارشات خرید مربوط به طرف حساب انتخابی را لیست می کند. کد مربوط به تهیه لیست می تواند شبیه به زیر باشد:
 

SELECT * FROM CustomerOrder WHERE CustomerName=’@pUserInput’