SQL注入式攻击原理及防范 【摘 要】本文介绍了SQL注入式攻击的原理,结合实例阐述了SQL注入式攻击的方法,并从代码层和平台层探讨了SQL注入式攻击的防范。 【关键词】SQL;注入式;攻击 1. SQL注入式攻击的原理 进行SQL注入时一般会用到两种方式:第一是手工注入,第二是工具注入。对于猜解管理员的密码方面一般用Pangolin或者NBSI ,其总体思路是1:(1)扫描目标网络信息(判断是否存在SQL注入漏洞);(2)判断后台数据库类型;(3)发现WEB虚拟目录;(4)上传ASP木马;(5)得到管理员权限。 详细介绍如下: (1)SQL注入一般存在于形如:http:/xxx.xxx.xxx/abc.asp?p=YY的网站中。 (2)在http:/xxx.xxx.xxx/abc.asp?p=YY 后面追加“and 1=1”,并访问该网址即http:/xxx.xxx.xxx/abc.asp?p=YY and 1=1 应该与访问原地址得到的结果相同。 (3)在http:/xxx.xxx.xxx/abc.asp
