日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

在現(xiàn)代計(jì)算機(jī)技術(shù)中，數(shù)據(jù)庫(kù)是不可避免的一個(gè)組成部分。它是一個(gè)組織了多個(gè)相關(guān)數(shù)據(jù)表的，并且允許用戶使用SQL查詢語(yǔ)言進(jìn)行操作的軟件系統(tǒng)。然而，有時(shí)候我們需要查看數(shù)據(jù)庫(kù)的內(nèi)容，而不具備相應(yīng)的訪問(wèn)權(quán)限和工具，這個(gè)時(shí)候手工SQL注入就派上用場(chǎng)了。

錦屏網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)！從網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、APP開(kāi)發(fā)、響應(yīng)式網(wǎng)站設(shè)計(jì)等網(wǎng)站項(xiàng)目制作，到程序開(kāi)發(fā)，運(yùn)營(yíng)維護(hù)。創(chuàng)新互聯(lián)從2013年成立到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來(lái)保證我們的工作的順利進(jìn)行。專(zhuān)注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)。

那么什么是手工SQL注入呢？在簡(jiǎn)單的說(shuō)就是一種黑客技術(shù)，通過(guò)針對(duì)漏洞進(jìn)行手動(dòng)構(gòu)造和解析SQL查詢來(lái)獲取未經(jīng)授權(quán)的數(shù)據(jù)。通常情況下，手動(dòng)SQL注入需要分析站點(diǎn)的不安全性和獲取站點(diǎn)的目標(biāo)數(shù)據(jù)庫(kù)的結(jié)構(gòu)。

我們需要在網(wǎng)頁(yè)中找到一些有關(guān)數(shù)值的輸入框，如搜索框、登錄框等等。然后，我們暴力猜測(cè)輸入內(nèi)容的格式，并同時(shí)觀察它們的反應(yīng)。當(dāng)我們輸入錯(cuò)誤的內(nèi)容后，服務(wù)器會(huì)返回一些錯(cuò)誤信息，如“無(wú)效的參數(shù)”或“未找到頁(yè)面”。這意味著我們已經(jīng)找到了一個(gè)潛在的SQL注入點(diǎn)。

接下來(lái)，我們需要了解當(dāng)前站點(diǎn)的數(shù)據(jù)庫(kù)類(lèi)型，并通過(guò)一些漏洞點(diǎn)對(duì)其進(jìn)行挖掘。常見(jiàn)的漏洞點(diǎn)包括：

1.沒(méi)有對(duì)輸入的數(shù)據(jù)進(jìn)行正確的過(guò)濾和轉(zhuǎn)義。

2.應(yīng)用程序使用靜態(tài)（不隨機(jī)生成）的密碼散列，使攻擊者能夠輕松得到原始密碼。

3.應(yīng)用程序在受到攻擊時(shí)會(huì)拋出具有詳細(xì)錯(cuò)誤信息的未經(jīng)處理的異常。

4.應(yīng)用程序沒(méi)有正確設(shè)置訪問(wèn)控制，使攻擊者能夠輕松得到敏感數(shù)據(jù)。

當(dāng)我們找到這些漏洞點(diǎn)后，我們需要構(gòu)建一些SQL注入語(yǔ)句來(lái)獲取數(shù)據(jù)庫(kù)的內(nèi)容。這些語(yǔ)句通常包括UNION SELECT語(yǔ)句、where語(yǔ)句和order by語(yǔ)句等。通過(guò)變化這些語(yǔ)句的格式和參數(shù)，我們可以逐步地獲取更多的數(shù)據(jù)。

注入語(yǔ)句的基本結(jié)構(gòu)是這樣的：

SELECT * FROM tablename WHERE parameter=’input’;

如果輸入的值是文本類(lèi)型，我們可以通過(guò)在輸入框中輸入單引號(hào)（’）來(lái)進(jìn)行注入。當(dāng)我們連續(xù)輸入多個(gè)單引號(hào)后，數(shù)據(jù)庫(kù)會(huì)返回一個(gè)錯(cuò)誤消息，其中可能會(huì)包含有關(guān)數(shù)據(jù)庫(kù)的有用信息。

如果輸入的值是數(shù)字類(lèi)型，我們可以在輸入框中輸入數(shù)學(xué)符號(hào)，如乘法、加法、減法和除法等。這些符號(hào)可以幫助我們構(gòu)建各種基于數(shù)據(jù)類(lèi)型的注入語(yǔ)句。

我們需要了解如何獲取數(shù)據(jù)庫(kù)的名稱(chēng)、用戶名和密碼等重要信息。如果我們能夠訪問(wèn)系統(tǒng)表，我們可以使用以下命令獲得所有表的列表：

SELECT table_name FROM information_schema.tables WHERE table_schema=database()

如果我們能夠訪問(wèn)系統(tǒng)變量，我們可以使用以下命令獲取用戶名和密碼：

SELECT @@version, user()

手工SQL注入是一種神奇而有用的技術(shù)。但是，我們必須要注意，不要用于非法目的，因?yàn)楹诳托袨槭欠浅：筒坏赖碌?。相反，我們?yīng)該盡可能地提高自己的數(shù)據(jù)庫(kù)對(duì)注入攻擊的防范能力，使用更加安全和難以猜測(cè)的密碼等方法來(lái)保護(hù)自己和他人的個(gè)人和敏感信息。

成都網(wǎng)站建設(shè)公司-創(chuàng)新互聯(lián)為您提供網(wǎng)站建設(shè)、網(wǎng)站制作、網(wǎng)頁(yè)設(shè)計(jì)及定制高端網(wǎng)站建設(shè)服務(wù)！

什么是sql注入？我們常見(jiàn)的提交方式有哪些？

針對(duì)你得問(wèn)題，我有以下回答，希望能解開(kāi)你的困惑。

首先回答之一個(gè)問(wèn)題：什么是SQL注辯虧敗入?

一般來(lái)說(shuō)，黑客通過(guò)把惡意的sql語(yǔ)句插入到網(wǎng)站的表單提交或者輸入域名請(qǐng)求的查詢語(yǔ)句，最終達(dá)到欺騙網(wǎng)站的服務(wù)器執(zhí)行惡意的sql語(yǔ)句，通過(guò)這些sql語(yǔ)句來(lái)獲取黑攜顫客他們自己想要的一些數(shù)據(jù)信息和用戶信息，也就是說(shuō)如果存在sql注入，那么就可以執(zhí)行sql語(yǔ)句的所有命令

那我延伸一個(gè)問(wèn)題:sql注入形成的原因是什么呢？

數(shù)據(jù)庫(kù)的屬于與網(wǎng)站的代碼未嚴(yán)格分離，當(dāng)一個(gè)黑客提交的參數(shù)數(shù)據(jù)未做充分的檢查和防御的話，那么黑客的就會(huì)輸入惡意的sql命令，改變了原有的sql命令的語(yǔ)義，就會(huì)把黑客執(zhí)行的語(yǔ)句帶入到數(shù)據(jù)庫(kù)被執(zhí)行。

現(xiàn)在回答第二個(gè)問(wèn)題：我們常見(jiàn)的注入方式有哪些？

我們常見(jiàn)的提交方式就是GET和POST

首先是GET，get提交方式，比如說(shuō)你要查詢一個(gè)數(shù)據(jù)，那么查詢的代碼就會(huì)出現(xiàn)在鏈接當(dāng)空首中，可以看見(jiàn)我們id=1，1就是我們搜索的內(nèi)容，出現(xiàn)了鏈接當(dāng)中，這種就是get。

第二個(gè)是Post提交方式是看不見(jiàn)的，需要我們利用工具去看見(jiàn)，我們要用到hackbar這款瀏覽器插件

可以就可以這樣去提交，在這里我搜索了2，那么顯示的數(shù)據(jù)也就不同，這個(gè)就是數(shù)據(jù)庫(kù)的查詢功能，那么的話，get提交比post的提交更具有危害性。

第二個(gè)是Post提交方式是看不見(jiàn)的，需要我們利用工具去看見(jiàn)，我們要用到hackbar這款瀏覽器插件。

以上便是我的回答，希望對(duì)你有幫助。

SQL注入一般步驟

ASP編程門(mén)檻很低，新手很容易上路。在一段不長(zhǎng)的時(shí)間里，新手往往就已經(jīng)能夠編出看來(lái)比較完美的動(dòng)態(tài)網(wǎng)站，液歷在功能上，老手能做到的，新手也能夠做到。那么新手與老手就沒(méi)區(qū)別了嗎？這里面區(qū)別可就大了，只不過(guò)外行人很難一眼就看出來(lái)罷了。在界面的友好性、運(yùn)行性能以及網(wǎng)站的安全性方面是新手與老手之間區(qū)別的三個(gè)集中點(diǎn)。而在安全性方面，新手最容易忽略的問(wèn)題就是SQL注入漏洞的問(wèn)題。用NBSI 2.0對(duì)網(wǎng)上的一些ASP網(wǎng)站稍加掃描，就能發(fā)現(xiàn)許多ASP網(wǎng)站存在SQL注入漏洞，教育網(wǎng)里高校內(nèi)部機(jī)構(gòu)的一些網(wǎng)站這種漏洞就更普遍了，可能這是因?yàn)檫@些網(wǎng)站大都是一些學(xué)生做的緣故吧，雖然個(gè)個(gè)都很聰明，可是畢竟沒(méi)有經(jīng)驗(yàn)，而且處于學(xué)習(xí)中，難免漏洞多多了。本文主要講講SQL注入的防范措施，而要明白這些防范措施的用處，須先詳細(xì)講解利用SQL注入漏洞入侵的過(guò)程。新手們看明白啦。

相當(dāng)大一部分程序員在編寫(xiě)代碼的時(shí)候，沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。如這是一個(gè)正常的網(wǎng)址

，將這個(gè)網(wǎng)址提交到服務(wù)器后，服務(wù)器將進(jìn)行類(lèi)似Select * from 表名 where 字段=”&ID的查詢(ID即客戶端提交的參數(shù)，本例是即444)，再將查詢結(jié)果返回給客戶端，如果這里客戶端故意提交這么一個(gè)網(wǎng)址：

and user>0，這時(shí)，服務(wù)器運(yùn)行Select * from 表名 where 字段=444 and user>0這樣的查詢，當(dāng)然，這個(gè)語(yǔ)句是運(yùn)行不下去的，肯定出錯(cuò)，錯(cuò)誤信息如下：

·錯(cuò)誤類(lèi)型：

Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)

將 nvarchar 值 ‘sonybb’ 轉(zhuǎn)換為數(shù)據(jù)類(lèi)型為 int 的列時(shí)發(fā)生語(yǔ)法錯(cuò)誤。

/lawjia/show.asp, 第 47 行

但是別有用心的人從這個(gè)出錯(cuò)信息中，可以獲得以下信息：該站使用MS＿SQL數(shù)據(jù)庫(kù)，用ODBC連接，連接帳號(hào)名為：sonybb。所謂SQL注入（SQL Injection），就是利用程序員對(duì)用戶輸入數(shù)據(jù)的合法性檢測(cè)不嚴(yán)或不檢測(cè)的特點(diǎn)，故意從客戶端提交特殊的代碼，從而收集程序及服務(wù)器的信息，從而獲取想得到的資料。通常別有用心者的目標(biāo)是獲取網(wǎng)站管理員的帳號(hào)和密碼。比如當(dāng)某個(gè)人知道網(wǎng)站管理員帳號(hào)存在表login中，管理員帳號(hào)名為admin，他想知道管理員密碼，這里他從客戶端接著提交這樣一個(gè)網(wǎng)址：

and (Select password from login where user_name=’admin’)>0，返回的出錯(cuò)信息如下：

·錯(cuò)誤類(lèi)型：

Microsoft OLE DB Provider for ODBC Drivers (0x80040E07)

將 varchar 值 ‘?。溃＃dmin’ 轉(zhuǎn)換為數(shù)據(jù)類(lèi)型為 int 的列時(shí)發(fā)生語(yǔ)法錯(cuò)誤。

/lawjia/show.asp, 第 47 行

你知道嗎？上面標(biāo)紅的部分就是管理員帳號(hào)admin的密碼！雖然很復(fù)雜，讓人看幾遍也記不住的，但它就這樣顯示在你面前了，這時(shí)您就可以用這個(gè)帳號(hào)和密碼接管人家的網(wǎng)站了！這時(shí)你可能還會(huì)說(shuō)，如果他不是事先知道管理員帳號(hào)存在表login中，而且知道管理員帳號(hào)為admin，那他就不可能獲得管理員密碼。你錯(cuò)了，只要人家愿意多花時(shí)間嘗試，他將可以獲得數(shù)據(jù)庫(kù)連接帳號(hào)權(quán)限內(nèi)所能獲得的所有信息！具體過(guò)程請(qǐng)參看網(wǎng)上的這篇文章：SQL注入漏洞全接觸。

當(dāng)然這個(gè)過(guò)程是很煩瑣的而且要花費(fèi)很多的時(shí)間，如果只能以這種手動(dòng)方式進(jìn)行SQL注入入侵的話，那么許多存在SQL注入漏洞的ASP網(wǎng)站會(huì)安全很多了鬧陸搜，不是漏洞不存在了，而是利用這個(gè)漏洞入悉冊(cè)侵的成本太高了。但是如果利用專(zhuān)門(mén)的黑客工具來(lái)入侵的話，那情況就大大不同了。手動(dòng)方式進(jìn)行SQL注入入侵至少需要半天或一天乃至很多天的時(shí)間，而利用專(zhuān)門(mén)的工具來(lái)入侵就只需要幾分鐘時(shí)間了（視網(wǎng)速快慢決定），再利用獲得的管理帳號(hào)和密碼，上傳一個(gè)從網(wǎng)上下載的ASP后門(mén)程序，就輕易獲得整個(gè)網(wǎng)站的管理權(quán)限了，甚至整個(gè)服務(wù)器的管理權(quán)限。最有名的一種SQL注入入侵工具是NBSI 2.0，現(xiàn)在已經(jīng)出到2.0版本了，不過(guò)，人家正式名稱(chēng)不叫SQL注入入侵工具，而叫做網(wǎng)站安全漏洞檢測(cè)工具。有了這個(gè)所謂的檢測(cè)工具，使得入侵存在SQL注入漏洞的ASP網(wǎng)站成了小兒科的游戲，那些既不懂ASP又不懂SQL、年紀(jì)小小的男性青年常常得以在一天之內(nèi)入侵十多個(gè)ASP網(wǎng)站，他們以此獲得內(nèi)心的極大滿足。他們似乎也非常講究職業(yè)道德，往往并不破壞網(wǎng)站數(shù)據(jù)和系統(tǒng)，常見(jiàn)的破壞方式大都僅僅是改換掉網(wǎng)站的主頁(yè)，留下”善意的警告”，如：你的網(wǎng)站存在SQL注入漏洞，請(qǐng)管理員做好防范措施！并聲明”我沒(méi)有破壞數(shù)據(jù)和系統(tǒng)”，有的還要借機(jī)發(fā)布一下他的倡導(dǎo)：”國(guó)內(nèi)網(wǎng)站大家不要入侵，有本事入侵小日本的！”，最后，簽上他的鼎鼎大名是必不可少的程序。

如此大的成就多數(shù)情況下僅需動(dòng)動(dòng)鼠標(biāo)就做到了。打開(kāi)最新版的NBSI 2.0，如圖1所示：輸入地址到A區(qū)，注意網(wǎng)址必須是帶傳遞參數(shù)的那種，點(diǎn)擊右邊的檢測(cè)按鈕，即出來(lái)B區(qū)信息，顯示當(dāng)前用戶為sonybb的權(quán)限為PUBLIC，當(dāng)前庫(kù)為lawjia。有點(diǎn)可惜啊，如果是SA權(quán)限的話，就可以跨庫(kù)注入了。不過(guò)，這個(gè)權(quán)限也足夠獲取該網(wǎng)站管理員帳號(hào)和密碼了。點(diǎn)C區(qū)下的自動(dòng)猜解按鈕，即出來(lái)當(dāng)前庫(kù)lawjia中的各種表，哇，login表中一定是存管理員帳號(hào)和密碼的吧？選中它吧，接著點(diǎn)擊D區(qū)下的自動(dòng)猜解按鈕，立即出來(lái)login表里的列名稱(chēng)，果然是存放用戶名和密碼的啊，太棒了！趕快打上勾，迫不急待的點(diǎn)擊E區(qū)下的自動(dòng)猜解按鈕。激動(dòng)人心的時(shí)刻就要到來(lái)啦，只見(jiàn)唰唰地幾下，帳號(hào)與密碼全部出來(lái)了。剩下的事就是辨別哪一個(gè)帳號(hào)是管理員了。

圖1（圖中的示例網(wǎng)站在作者本地電腦上運(yùn)行）

不知那些沒(méi)注意過(guò)SQL注入漏洞的ASP程序員們看了上圖的例子，要作何感想呢？是不是覺(jué)得這個(gè)所謂的網(wǎng)站安全漏洞檢測(cè)工具SBSI 2.0簡(jiǎn)直就是MS_SQL的企業(yè)管理器呢？只不過(guò)人家不需要帳號(hào)和密碼就可以查看您數(shù)據(jù)庫(kù)里的所有信息了。如果您的網(wǎng)站就這樣被人不費(fèi)吹灰之力入侵了，您是不是要吐幾升血了呢？也許您已經(jīng)為系統(tǒng)安全費(fèi)盡心思了，裝補(bǔ)丁、安防火墻、裝殺毒軟件、巧妙配置IIS及數(shù)據(jù)庫(kù)用戶權(quán)限，但您就是沒(méi)有注意到SQL注入漏洞，于是”千里之堤，潰于蟻穴”。防火墻與殺毒軟件對(duì)SQL注入是沒(méi)辦法防范的，因?yàn)镾QL注入入侵跟普通的WEB頁(yè)面訪問(wèn)沒(méi)什么區(qū)別，所以往往是防不甚防。而且一個(gè)服務(wù)器上放置的網(wǎng)站往往是有很多個(gè)的，服務(wù)器管理員不可能挨個(gè)網(wǎng)站挨個(gè)頁(yè)面的審查其是否存在SQL注入漏洞。那么應(yīng)該如何防范SQL注入入侵呢？作為服務(wù)器管理員或網(wǎng)站程序員應(yīng)該分別怎么做呢？服務(wù)器管理員要做的事主要是配置IIS和數(shù)據(jù)庫(kù)用戶權(quán)限，而網(wǎng)站程序員主要是要在程序代碼編寫(xiě)上防范SQL注入入侵。下面詳細(xì)敘述：

對(duì)了服務(wù)器管理員，既然你不可能挨個(gè)檢查每個(gè)網(wǎng)站是否存在SQL注入漏洞，那么就來(lái)個(gè)一個(gè)絕招。這個(gè)絕招能有效防止SQL注入入侵而且”省心又省力，效果真好！”SQL注入入侵是根據(jù)IIS給出的ASP錯(cuò)誤提示信息來(lái)入侵的，如果你把IIS設(shè)置成不管出什么樣的ASP錯(cuò)誤，只給出一種錯(cuò)誤提示信息，即http 500錯(cuò)誤，那么人家就沒(méi)辦法入侵了。具體設(shè)置請(qǐng)參看圖2。主要把500:100這個(gè)錯(cuò)誤的默認(rèn)提示頁(yè)面 C:\WINDOWS\Help\iisHelp\common\.asp改成

C:\WINDOWS\Help\iisHelp\common\500.htm即可，這時(shí)，無(wú)論ASP運(yùn)行中出什么錯(cuò)，服務(wù)器都只提示HTTP 500錯(cuò)誤。

圖2、IIS出錯(cuò)信息設(shè)置

但是這樣設(shè)置一個(gè)不好的地方是程序員編寫(xiě)的代碼出錯(cuò)時(shí)，服務(wù)器不給出詳細(xì)的錯(cuò)誤提示信息，會(huì)給程序員帶來(lái)很大的不便。不過(guò)，服務(wù)器畢竟不是測(cè)試代碼的地方，應(yīng)堅(jiān)持安全穩(wěn)定之一，這樣設(shè)置也是無(wú)可厚非的，事實(shí)上許多服務(wù)器的出錯(cuò)信息都是如此設(shè)置。

服務(wù)器管理員還應(yīng)在IIS中為每個(gè)網(wǎng)站設(shè)置好執(zhí)行權(quán)限，可千萬(wàn)別給人家靜態(tài)網(wǎng)站以”腳本和可執(zhí)行”權(quán)限。一般情況下給個(gè)”純腳本”權(quán)限就夠了，對(duì)于那些通過(guò)網(wǎng)站后臺(tái)管理中心上傳的文件存放的目錄，就更吝嗇一點(diǎn)吧，執(zhí)行權(quán)限設(shè)為”無(wú)”好了，這樣做是為了防止人家上傳ASP木馬，執(zhí)行權(quán)限設(shè)為”無(wú)”，人家上傳ASP木馬也運(yùn)行不了。一般情況下，SQL注入漏洞僅是涉及一個(gè)網(wǎng)站安全的事，如果人家通過(guò)這個(gè)漏洞上傳了ASP木馬并運(yùn)行起來(lái)，那整個(gè)服務(wù)器都失陷了。所以有遠(yuǎn)見(jiàn)的、有責(zé)任心的服務(wù)器管理員應(yīng)該十分吝嗇的配置IIS的執(zhí)行權(quán)限。

同樣的吝嗇態(tài)度應(yīng)適用于數(shù)據(jù)庫(kù)用戶的權(quán)限配置上，當(dāng)然這里數(shù)據(jù)庫(kù)是指MS＿SQL啦，ACCESS都沒(méi)有用戶權(quán)限配置這一步驟。如果PUBLIC權(quán)限足夠使用的絕不給再高的權(quán)限，可千萬(wàn)別把SA級(jí)別的權(quán)限隨隨便便地給人家啊。那個(gè)所謂的網(wǎng)站安全漏洞檢測(cè)工具NBSI 2.0可有跨庫(kù)進(jìn)行SQL注入的功能啊，如果你把SA權(quán)限給了存在SQL注入漏洞的庫(kù)，那其它庫(kù)就不保啦！城門(mén)失火，殃及池魚(yú)呀。而人家還可以通過(guò)調(diào)用xp_cmdshell命令得到系統(tǒng)的更高權(quán)限。具體步驟還是請(qǐng)參看上面提到的那篇《SQL注入漏洞全接觸》這篇文章吧。

接下來(lái)要講講程序員的防范措施了。程序主要要做兩件事，最重要的一件事，當(dāng)然是對(duì)客戶端提交的變量參數(shù)進(jìn)行仔細(xì)地檢測(cè)啦。對(duì)客戶端提交的變量進(jìn)行檢查以防止SQL注入，有各種方法，到

上搜索一下，你能獲得許多有益信息。這里介紹一種現(xiàn)成的方法，別人已經(jīng)寫(xiě)好了檢測(cè)代碼，拿來(lái)用一下，不用自己辛苦啦。那就是”楓葉SQL通用防注入V1.0 ASP版”，這是一段對(duì)用戶通過(guò)網(wǎng)址提交過(guò)來(lái)的變量參數(shù)進(jìn)行檢查的代碼，發(fā)現(xiàn)客戶端提交的參數(shù)中有”exec、insert、select、delete、from、update、count、user、xp_cmdshell、add、net、Asc”等用于SQL注入的常用字符時(shí)，立即停止執(zhí)行ASP并給出警告信息或轉(zhuǎn)向出錯(cuò)頁(yè)面。大家可以到網(wǎng)上搜索一下，下載這段代碼，存為一個(gè)ASP頁(yè)面，如checkSQL.asp，把這個(gè)頁(yè)面include到每個(gè)需要帶參數(shù)查詢SQL數(shù)據(jù)庫(kù)ASP頁(yè)面中，記住，只要加一行這樣的代碼就行了。

程序員要做的第二件事是給用戶密碼加密啦。比如用MD5加密。MD5是沒(méi)有反向算法,不能解密的。人家即使知道經(jīng)加密后存在數(shù)據(jù)庫(kù)里的像亂碼一樣的密碼，他也沒(méi)辦法知道原始密碼了。不過(guò)，人家可以用UPDATE方法用他的密碼代替你的密碼，但這個(gè)操作還是有點(diǎn)麻煩，人家可能會(huì)怕麻煩而放棄。而那個(gè)所謂的網(wǎng)站安全漏洞檢測(cè)工具NBSI 2.0是沒(méi)有提供UPDATE操作功能的，所以用MD5加密后，人家僅用NBSI 2.0而不輔以手動(dòng)操作的話，就不可能獲得網(wǎng)站管理員帳號(hào)的密碼，這將擋住許多菜鳥(niǎo)級(jí)的攻擊者，至少那些既不懂ASP又不懂SQL、年紀(jì)小小的男性青年是沒(méi)有辦法啦！

關(guān)于手工sql注入查數(shù)據(jù)庫(kù)的介紹到此就結(jié)束了，不知道你從中找到你需要的信息了嗎 ？如果你還想了解更多這方面的信息，記得收藏關(guān)注本站。

創(chuàng)新互聯(lián)-老牌IDC、云計(jì)算及IT信息化服務(wù)領(lǐng)域的服務(wù)供應(yīng)商，業(yè)務(wù)涵蓋IDC（互聯(lián)網(wǎng)數(shù)據(jù)中心）服務(wù)、云計(jì)算服務(wù)、IT信息化、AI算力租賃平臺(tái)（智算云），軟件開(kāi)發(fā)，網(wǎng)站建設(shè)，咨詢熱線:028-86922220

分享題目：手工SQL注入探究：如何通過(guò)此方法查看數(shù)據(jù)庫(kù)？(手工sql注入查數(shù)據(jù)庫(kù))
文章地址：http://www.dlmjj.cn/article/djeosgs.html