T_T

摘要： 1.and user>0 判断数据库类型（虽然刚才工具中已经判断出来了，但为了学习嘛，从最基本的来）看到回显中的Microsoft JET Database*** 错误我们可以断定是ACCESS数据库了2.and exists (select * from 表名) 猜解表名，返回错误说明表名不存在，返回正常说明表名存在这里我们输入 and exists (select * from admin)返回正常，说明我们输入的表明admin存在3.exists (select 列名 from 表名) 猜解列名，依然是返回错误说明列名不存在，返回正常说明列名存在这里我们输入and exists ( 阅读全文

摘要： 简介：sql注入一般针对基于web平台的应用程序 由于很多时候程序员在编写程序的时候没有对浏览器端提交的参数进行合法的判断，可以由用户自己修改构造参数（也可以是sql查询语句），并传递至服务器端 获取想要的敏感信息甚至执行危险代码和系统命令就形成了sql注入漏洞,时至今日任然有很大一部分网站存在sql注入漏洞，可想而知sql注入攻击的危害，下面就目前sql注入攻击技术进行总结，让我们更加了解这种攻击与防御方法一、access数据库注入攻击技术目前国内很大一部分网站都是采用asp+access搭建成的本文演示网站是在虚拟机搭建的一套留言板程序http://192.168.80.128:8181/ 阅读全文