http://www.donews.com/Content/200607/b5fd958405bf49cd977957a155b317da.shtm
一个很有实际的SQL Injection的例子,说明它的代价还是很高的。
文中的那位似乎很权威的“红客大联盟”的CEO-Sharp Winner说了句很奇怪的话:
…接下来,他要做的就是,通过服务器上的“SQL(数据库)注入漏洞”拿到所有服务器的权限。“因为程序都是程序员编写的,存在漏洞很正常,只是严重级别的问题,通常,这些漏洞可以通过打‘补丁’修复,但网管人员也可能疏忽‘打补丁’。”
SQL注入是程序员的疏忽没错,所以它属于程序应用层的漏洞,并非是网管打几个网络和系统的补丁可以修补得了的。