网络安全相关知识总结

1. 什么是SQL注入？

SQL通常出现在网站中有提交表单的页面，这些表单的提交会涉及到一些数据库的查询操作，此时攻击者可以利用SQL语句上的一些技巧来获取网站的敏感信息，甚至可以获取webshell。这样利用程序的漏洞来执行SQL语句就是SQL注入。

通常可以把SQL注入分为两大类：SQL注入和SQL盲注。两者并没有特殊的区别，因为是在不同的应用场景下所以才会有名字上的差异，对于一些安全性较低的网站，输入错误的SQL语句，会给出相应的提示，然后就可以感觉提示来逐步地寻找网站可能存在的漏洞，如此难度较低的SQL注入方式被称为SQL注入，也被称为会显示注入。然而，有些网站再输入错误的SQL语句后并不会有错误的提示，攻击者只能通过经验和猜测来进行尝试，这种难度比较高的SQL注入被称为SQL盲注。

2.什么是文件包含漏洞？

文件包含也叫作File Inclusion，这种漏洞常常出现于通过脚本运行的网站。当应用程序使用攻击者控制的变量建立可执行代码的路径时，就会产生文件包含漏洞，攻击者可以控制在运行时执行他想要执行的文件。

文件包含分为两种类型：本地文件包含和远程文件包含。

本地文件包含，只包含在服务器上的文件；远程文件包含，可以包含远在其他服务器上的文件。

3.什么是密码爆破？

施工中……