什么是SQL注入法攻击

• 如果以上三步全面满足，abc.asp中一定存在SQL注入漏洞。
  3、特殊情况的处理
  有时ASP程序员会在程序员过滤掉单引号等字符，以防止SQL注入。此时可以用以下几种方法试一试。
  ①大小定混合法：由于VBS并不区分大小写，而程序员在过滤时通常要么全部过滤大写字符串，要么全部过滤小写字符串，而大小写混合往往会被忽视。如用SelecT代替select,SELECT等；
  ②UNICODE法：在IIS中，以UNICODE字符集实现国际化，我们完全可以IE中输入的字符串化成UNICODE字符串进行输入。如+ =%2B，空格=%20 等；URLEncode信息参见附件一；
  ③ASCII码法：可以把输入的部分或全部字符全部用ASCII码代替，如U=chr(85),a=chr(97)等，ASCII信息参见附件二；

  二、区分数据库服务器类型
  一般来说，ACCESS与SQL－SERVER是最常用的数据库服务器，尽管它们都支持T－SQL标准，但还有不同之处，而且不同的数据库有不同的攻击方法，必须要区别对待。
  1、 利用数据库服务器的系统变量进行区分
  SQL－SERVER有user,db_name()等系统变量，利用这些系统值不仅可以判断SQL-SERVER，而且还可以得到大量有用信息。如：
  ① HTTP://xxx.xxx.xxx/abc.asp?p=YY and user>0 不仅可以判断是否是SQL-SERVER，而还可以得到当前连接到数据库的用户名
  ②HTTP://xxx.xxx.xxx/abc.asp?p=YY&n ... db_name()>0 不仅可以判断是否是SQL-SERVER，而还可以得到当前正在使用的数据库名；
  2、利用系统表
  ACCESS的系统表是msysobjects,且在WEB环境下没有访问权限，而SQL-SERVER的系统表是sysobjects,在WEB环境下有访问权限。对于以下两条语句：
  ①HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from sysobjects)>0
  ②HTTP://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from msysobjects)>0
  若数据库是SQL-SERVE，则第一条，abc.asp一定运行正常，第二条则异常；若是ACCESS则两条都会异常。

  3、 MSSQL三个关键系统表
  sysdatabases系统表：Microsoft SQL Server 上的每个数据库在表中占一行。最初安装 SQL Server 时，sysdatabases 包含 master、model、msdb、mssqlweb 和 tempdb 数据库的项。该表只存储在 master 数据库中。 这个表保存在master数据库中，这个表中保存的是什么信息呢？这个非常重要。他是 保存了所有的库名,以及库的ID和一些相关信息。
  
  这里我把对于我们有用的字段名称和相关说明给大家列出来。name //表示库的名字。
  dbid //表示库的ID，dbid从1到5是系统的。分别是：master、model、msdb、mssqlweb、tempdb 这五个库。用select * from master.dbo.sysdatabases 就可以查询出所有的库名。

  Sysobjects：SQL-SERVER的每个数据库内都有此系统表，它存放该数据库内创建的所有对象，如约束、默认值、日志、规则、存储过程等，每个对象在表中占一行。以下是此系统表的字段名称和相关说明。
  Name，id，xtype，uid，status：分别是对象名，对象ID，对象类型，所有者对象的用户ID,对象状态。
  对象类型(xtype)。可以是下列对象类型中的一种：
  C = CHECK 约束
  D = 默认值或 DEFAULT 约束
  F = FOREIGN KEY 约束
  L = 日志
  FN = 标量函数
  IF = 内嵌表函数
  

• 上一页 [1] [2] [3] [4] [5] [6] [7] [8] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 什么是SQL注入法攻击 相关文章：
• ·asp代码-注册登陆代码
• ·注册表修改大全之XP
• ·2005 最新注册码大全
• ·注册表知识：HKEY_LOCAL_MACHINE根键详解
• ·Coreldraw12官方简体中文版下载及注册码
• ·注册表应用100例—注册表使用全攻略之十一
• ·软件注册码、安装序列号☆集锦
• ·什么是SQL注入法攻击
• ·在jsp中用bean和servlet联合实现用户注册、登录
• ·cmd下修改注册表完全攻略
• 什么是SQL注入法攻击 相关软件
• ·VirtuaGirl 虚拟女孩 V2.08 汉化注册版
• ·注册码生成器 V1.0
• ·COCO电脑监控系统 V 7.66 注册版
• ·统一驾照模拟考试系统v3.0　驾校版　+　注册机
• ·儿童经典诵读—名篇精品欣赏注音读本（专家朗诵版） V3.0.8.8
• ·注册表修改工具 V4.0
• ·Fraps游戏录影 注册版
• ·《实况足球9欧洲版》全系列注册表导入器
• ·理正电气 CAD Build 20612 免费注册版
• ·RegFix注册表关键键值修复工具 V1.21

上一篇:jsp实现图形验证码

下一篇:Photoshop一种反转片效果的制作方法

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐