這個問題源自 StackOverflow，題主需要向沒有技術背景和經驗的朋友解釋 SQL 注入，希望有人能有好方法。Polynomial 分享了他的類比方法，得到了 710+ 贊。

ThinkPHP框架底層功能實現存在SQL注射隱患，會影響使用ThinkPHP框架搭建的網站，以及ThinkSNS、ONETHINK等應用。目前官方已經確認，請各位站長及時更新安全補丁。

sqlcake是一款ruby寫的SQL注入工具,適用于系統管理員和滲透測試人員。

安全公司發現，Google 的機器人被用于對客戶網站發動 SQL 注入攻擊，迫使其在防火墻中屏蔽了 Google 的 IP 地址。整個過程如下：Google 機器人正在網站A上收集信息，A網站內嵌入了對目標B網站的 SQL 注入請求鏈接，Google 機器人順著鏈接訪問B網站，無意中開始對B網站執行了 SQL 注入攻擊。

開源 CMS 項目 Drupal 對最近修復的 SQL 注入漏洞發布了安全警告， 稱自動入侵工具已能利用該漏洞，如果 Drupal 7 網站沒有及時打上補丁都有可能遭到入侵。

SQL注入式攻擊技術，一般針對基于Web平臺的應用程序.造成SQL注入攻擊漏洞的原因，是由于程序員在編寫Web程序時，沒有對瀏覽器端提交的參數進行嚴格的過濾和判斷。用戶可以修改構造參數，提交SQL查詢語句，并傳遞至服務器端，從而獲取想要的敏感信息，甚至執行危險的代碼或系統命令。 雖然SQL注入攻擊技術早已出現，但是時至今日仍然有很大一部分網站存在SQL注入漏洞，在本章開篇中進行的入侵檢測中就發現了各大門戶網站同樣存在SQL注入漏洞，更別說一些小網站了。由于SQL漏潤存在的普遍性，因此SQL入侵攻擊技術往往成為黑客入侵攻擊網站滲透內部服務的首選技術，其危害性非常大。

SQLol是一個可配置得SQL注入測試平臺，它包含了一系列的挑戰任務，讓你在挑戰中測試和學習SQL注入語句。

function inject_check($sql_str) { return eregi('select|insert|and|or|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str); } function verify_id($id=null) { if(!$id) { exit('沒有

SQL 注入 或者 SQLi 常見的攻擊網站的手段，使用下面的代碼可以幫助你防止SQL注入 function clean($input) { if (is_array($input)) { foreach ($input as $key => $val) { $output[$key] = clean($val); // $output[$key] = $this->clean($val); }

function cleanuserinput($dirty){ if (get_magic_quotes_gpc()) { $clean = mysql_real_escape_string(stripslashes($dirty)); }else{ $clean = mysql_real_escape_string($dirty); } return $clean; }

導讀：雖然前面有許多文章討論了SQL注入，但今天所討論的內容也許可幫助你檢查自己的服務器，并采取相應防范措施。知彼知己，方可取勝。首先要清楚SQL注入攻擊有哪些種類。 觀察近來的一些安全事件及其后果，安全專家們已經得到一個結論，這些威脅主要是通過SQL注入造成的。雖然前面有許多文章討論了SQL注入，但今天所討論的內容也許可幫助你檢查自己的服務器，并采取相應防范措施。 SQL注入攻擊的種類 知彼知己

本文是關于PHP序列化/對象注入漏洞分析的短篇，里面講述了如何獲取主機的遠程shell。如果你想了解更多關于PHP序列化的內容，請訪問這個 鏈接 。如果你想自行測試這個漏洞，你可以通過 XVWA 和 Kevgir 進行操作。

Inversion of Control Containers and the Dependency Injection pattern

SQL注入什么是SQL注入SQL注入：利用現有應用程序，將（惡意）的SQL命令注入到后臺數據庫引擎執行的能力，這是SQL注入的標準釋義。SQL注入利用的是正常的HTTP服務端口，表面上看來和正常的web訪問沒有區別，隱蔽性極強，不易被發現。SQL注入的危害SQL注入的主要危害包括：1、未經授權狀況下操作數據中的數據2、惡意篡改網頁內容3、私自添加系統賬號或是數據庫使用者賬號4、網頁掛木馬。

Adobe 證實它的一個數據庫遭黑客入侵，表示已將受影響的網站 Connectusers.com 下線。自稱對此事負責的黑客告訴媒體，他利用 Connectusers.com Web 服務器的 SQL 注入漏洞發動了攻擊，獲得了 15 萬 Adobe 用戶帳號，用戶密碼都使用 MD5 加密，借助現有的免費破解工具很容易破解這種哈希加密方法。

眾所周知，SQL 注入攻擊是最為常見的 Web 應用程序攻擊技術。同時 SQL 注入攻擊所帶來的安全破壞也是不可彌補的。以下羅列的 10 款 SQL 工具可幫助管理員及時檢測存在的漏洞。

USE [master] GO if exists (select * from sys.databases where name = 'Test_1') drop database Test_1 GO --創建新庫，要演練分區所以我們會多創建兩個文件組Test_A,Test_B，以便在后面的分區方案中使用。 CREATE DATABASE [Test_1] ON PRIMARY ( NAME =

SQL Tuning author Dan Tow outlines a timesaving method he's developed for finding the optimum execution plan--rapidly and systematically--regardless of the complexity of the SQL or the database platform being used. You'll learn how to understand and control SQL execution plans and how to diagram SQL queries to deduce the best execution plan for a query. Key chapters in the book includes exercises to reinforce the concepts you've learned. SQL Tuning concludes by addressing special concerns and unique solutions to "unsolvable" problems.

spring一個很大優點就是通過IOC方式，根據xml配置文件自動注入，從來避免了在java類中直接出現大量的實例化代碼，省時省力。

依賴注入（DI）是一種解耦組件之間依賴關系的設計模式。在需要的時候，不同組件之間可以通過一個統一的界面獲取其它組件中的對象和狀態。Go語言的接口設計，避免了很多需要使用第三方依賴注入框架的情況（比如Java，等等）。我們的注入方案只提供非常少的類似Dager或Guice中的注入方案，而專注于盡量避免手動去配置對象和組件之間的依賴關系。因為，我們認為如果在Go代碼庫中，注入能夠更加容易理解，就根本沒有必要那樣。