sql注入实验报告报告.docVIP

实验报告 课程名称： SQL注入 专 业： 班 级： 姓 名： 学 号： 指导教师： 2016年 3 月 8 日实验目的 1、掌握SQL注入的基本概念。 2、掌握SQL注入的总体思路。 3、掌握通过脚本访问网站数据库的基本方法。 二、实验原理 1、SQL注入 SQL是结构化查询语言的简称，它是访问数据库的事实标准。SQL注入能使攻击者绕过认证机制，完全控制远程服务器上的数据库。目前，大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台都使用某种SQL数据库。跟大多数语言一样，SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话，用户数据就有可能被解释成命令，这样的话，远程用户就不仅能向Web应用输入数据，而且还可以在数据库上执行任意命令了。 2、SQL注入攻击的一般顺序是： ? (发现SQL注入位置，判断后台数据库类型，确定XP_CMDSHELL可执行情况，发现WEB虚拟目录，上传ASP木马，得到管理员权限。 3、 SQL注入攻击的防范方法：