其目标通常是：

窃取敏感数据

绕过身份验证

修改、删除数据库内容

执行系统命令等

SQL 注入的工作原理

输入验证不足：当Web应用程序没有正确验证用户输入时，攻击者可以在输入字段中插入SQL代码。

拼接SQL语句：应用程序后端通常将用户输入与SQL查询拼接在一起，形成完整的数据库查询语句。

执行恶意SQL：如果应用程序没有对输入进行适当的清理或转义，恶意SQL代码将被数据库服务器执行。

数据泄露或破坏：攻击者可以利用SQL注入来查询、修改或删除数据库中的数据，或者执行数据库管理系统的系统命令。

数据泄露：攻击者获取数据库中的用户名、密码、银行卡号等敏感信息。

权限提升：攻击者可能通过注入命令获得更高的访问权限。

数据篡改：数据库内容被修改或删除。

服务中断：恶意 SQL 代码可能导致数据库崩溃，影响系统可用性。

执行系统命令：通过数据库扩展功能，攻击者可能直接操作操作系统。