sql注入:SQL注入天书
疯狂代码 http://www.crazycoder.cn/ ĵ:http:/www.crazycoder.cn/Asp/Article16281.html
引言
随着B/S模式应用开发发展使用这种模式编写应用员也越来越多但是由于这个行业入门门槛不高员水平及经
验也参差不齐相当大部分员在编写代码时候没有对用户输入数据合法性进行判断使应用存在安全隐患用户可以
提交段数据库查询代码根据返回结果获得某些他想得知数据这就是所谓SQLInjection即SQL注入
SQL注入是从正常WWW端口访问而且表面看起来跟般Web页面访问没什么区别所以目前市面防火墙都不
会对SQL注入发出警报如果管理员没查看IIS日志习惯可能被入侵很长时间都不会发觉
但是SQL注入手法相当灵活在注入时候会碰到很多意外情况能不能根据具体情况进行分析构造巧妙SQL语
句从而成功获取想要数据是高手和“菜鸟”根本区别
根据国情国内网站WebSite用ASP+Access或SQLServer占70%以上PHP+MySQ占L20%其他不足10%在
本文我们从分入门、进阶至高级讲解下ASP注入思路方法及窍门技巧PHP注入文章由NB联盟另位朋友zwell撰
写希望对安全工作者和员都有用处了解ASP注入朋友也请不要跳过入门篇部分人对注入基本判断思路方法还存
在误区大家准备好了吗?LetsGo...
入门篇
如果你以前没试过SQL注入话那么第步先把IE菜单=>工具=>Internet选项=>高级=>显示友好HTTP信息
前面勾去掉否则不论服务器返回什么IE都只显示为HTTP500服务器不能获得更多提示信息
第节、SQL注入原理
以下我们从个网站WebSitewww.mytest.com开始(注:本文发表前已征得该站站长同意大部分都是真实数
据)
在网站WebSite首页上有名为“IE不能打开新窗口多种解决思路方法”链接地址为
:http://www.mytest.com/showdetail.asp?id=49我们在这个地址后面加上单引号’服务器会返回下面提示:
MicrosoftJETDatabaseEngine80040e14
串语法在查询表达式ID=49中