明小子的用法及sql注入提权.docVIP

明小子的用法及SQL注入提权 注意：学习的目的是为了防护，任何实施入侵电脑的行为都是犯罪！！！ 一、什么是SQL注入　 asp编程门槛很低，新手很容易上路。在一段不长的时间里，新手往往就已经能够编出看来比较完美的动态网站，在功能上，老手能做到的，新手也能够做到。那么新手与老手就没区别了吗？这里面区别可就大了，只不过外行人很难一眼就看出来罢了。在界面的友好性、运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点。 而在安全性方面，新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI 2.0对网上的一些ASP网站稍加扫描，就能发现许多ASP网站存在SQL注入漏洞，教育网里高校内部机构的一些网站这种漏洞就更普遍了，可能这是因为这些网站大都是一些学生做的缘故吧，虽然个个都很聪明，可是毕竟没有经验，而且处于学习中，难免漏洞多多了。 　　相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。如这是一个正常的网址http://localhost/lawjia/show.asp?ID=444，将这个网址提交到服务器后，服务器将进行类似Select * from 表名 where 字段=ID的查询(ID即客户端提交的参数，本例是即444)，再将查询结果返回给客户端，如果这里客户端故意提交这么一个网址： 　　http://localhost