SQL 注入攻击的基本思想就是在 用户输入中注入一些额外的特殊字符或者 SQL 语句, 使系统构造出来的 SQL 语句在执行时改变了查询条件, 或者附带执行了攻击者注入的 SQL 语句。 攻击者根据程序返回的结果, 获得某些想知道的数据, 就是所谓的SQL injection,即SQL注入。SQL注入是从正常的www端口访问,而且从表面看起来和一般的web页面访问没什么区别。所以目前市面上的防火墙都不会对sql注入发出警报,如果管理员没有定期查看IIS日志的习惯,可能被入侵很长一段时间都不会发现。
steps of SQL注入
①找出注入点②查询字段数③查看回显位④查询数据库的基本信息⑤得到数据库名
⑥查找数据库表名⑦最后得到字段名
简单记录一道道题目。