本文详细讲述了 sql注入的原理及防范技巧，目的是让初学者利用SQL注入技术来解决他们面临的问题, 成功的使用它们,并在这种攻击中保护自己。希望能对大家有所帮助。

一、 介绍

　　当一台机器只打开了80端口, 你最依赖的漏洞扫描器也不能返回任何有用的内容, 并且你知道管理员经常为机器打补丁, 我们就不得不使用web攻击方式了. SQL注入是web攻击的一种类型 ,这种方式只需要开放80端口就够了并且即使管理员打了全部的补丁也能工作. 它攻击的目标是web程序(像ASP,JSP,PHP,CGI等)本身而不是web服务器或系统上运行的服务.

　　本文不介绍任何新的东西, SQL注入已经被广泛的讨论和使用. 我们写这篇文章目的是因为我们想要使用SQL注入进行一些演练测试,希望这个能对各位有用. 你可以在这里找到一两个窍门但是请你关注下9.0 哪里有更多的信息? 可以得到关于SQL注入更多，更深入的技术.

　　1.什么是SQL注入：

　　通过网页的输入项来注入SQL查询或命令是一种技巧。许多网页会从用户那里获取参数，并构建SQL查询来访问数据库。以用户登录为例，页面收集用户名和密码然后构建SQL去查询数据库，来校验用户名和密码的有效性。通过SQL注入，我们可以发送经过精心编造的用户名和/或密码字段，来改变SQL查询语句并赋予 我们其它一些权限。

　　2.你需要什么：

　　任意web浏览器。

二、 你应该寻找什么

　　尝试寻找那些允许你提交数据的页面，即: 登录页面，查询页面，反馈信息等等。有时，HTML页面会用POST命令来把参数发送到另外一个ASP页面上去。那么，你可能在URL中看不到参数。不过，你可以查看页面的HTML源代码，查找FORM标签。你会在一些HTML源代码中看到类似下面的东东: