1、直接注入式攻击法
直接将代码插入到与SQL命令串联在一起并使得其以执行的用户输入变量。由于其直接与SQL语句捆绑,故也被称为直接注入式攻击法。
2、间接攻击方法
它将恶意代码注入要在表中存储或者作为原数据存储的字符串。在存储的字符串中会连接到一个动态的SQL命令中,以执行一些恶意的SQL代码。注入过程的工作方式是提前终止文本字符串,然后追加一个新的命令。如以直接注入式攻击为例。就是在用户输入变量的时候,先用一个分号结束当前的语句。然后再插入一个恶意SQL语句即可。由于插入的命令可能在执行前追加其他字符串,因此攻击者常常用注释标记“—”来终止注入的字符串。执行时,系统会认为此后语句位注释,故后续的文本将被忽略,不背编译与执行。
可以,或者说sql注入主要是分析请求,通过传参来做的,一些防范意识不强的后端,可能没有做参数关键词验证,甚至没有参数化直接拼接sql语句的,就可以通过加注释,猜表名等方法注入语句
asp是一种服务器端脚本编写环境,可以用来创建和运行动态网页或Web应用程序。
asp可以包含HTML标记、普通文本、脚本命令以及COM组件等。
利用asp可以向网页中添加交互式内容(如在线表单),也可以创建使用HTML网页作为用户界面的web应用程序。
asp特点:
⑴利用asp可以实现突破静态网页的一些功能限制,实现动态网页技术;
⑵asp文件是包含在HTML代码所组成的文件中的,易于修改和测试;
⑶服务器上的asp解释程序会在服务器端执行asp程序,并将结果以HTML格式传送到客户端浏览器上,因此使用各种浏览器都可以正常浏览asp所产生的网页;
⑷asp提供了一些内置对象,使用这些对象可以使服务器端脚本功能更强。
例如可以从web浏览器中获取用户通过HTML表单提交的信息,并在脚本中对这些信息进行处理,然后向web浏览器发送信息;
⑸asp可以使用服务器端ActiveX组件来执行各种各样的任务,例如存取数据库、发送Email或访问文件系统等;
⑹由于服务器是将asp程序执行的结果以HTML格式传回客户端浏览器,因此使用者不会看到asp所编写的原始程序代码,可防止asp程序代码被窃取;
⑺ 方便连接ACCESS与SQL数据库;
⑻开发需要有丰富的经验,否则会留出漏洞,让骇客利用进行注入攻击。
