爆破取数据库

㈠ 什么是SQL注入

SQL注入是一种非常常见的数据库攻击手段，SQL注入漏洞也是网络世界中最普遍的漏洞之一。大家也许都听过某某学长通过攻击学校数据库修改自己成绩的事情，这些学长们一般用的就是SQL注入方法。

SQL注入其实就是恶意用户通过在表单中填写包含SQL关键字的数据来使数据库执行非常规代码的过程。简单来说，就是数据“越俎代庖”做了代码才能干的事情。

这个问题的来源是，SQL数据库的操作是通过SQL语句来执行的，而无论是执行代码还是数据项都必须写在SQL语句之中，这就导致如果我们在数据项中加入了某些SQL语句关键字（比如说SELECT、DROP等等），这些关键字就很可能在数据库写入或读取数据时得到执行。

二、SQL注入的产生需要满足以下两个条件
1、参数用户可控：前端传给后端的参数用户可控。2、参数带入数据库查询：传入的参数拼接到SQL语句中，且带入数据库中查询。

1、按照注入点分类：

（1）数字型注入：许多网页链接有类似的结构 http://xxx.com/users.php?id=1 基于此种形式的注入，注入点id为数字，一般被叫做数字型注入点，通过这种形式查询出后台数据库信息返回前台展示，可以构造类似以下的SQL语句进行爆破：select *** from 表名 where id=1 and 1=1。
2）字符型注入：网页链接有类似的结构

http://xxx.com/users.php?name=admin 这种形式，注入点name为字符串，被称为字符型注入，可以用：select *** from 表名 where name='admin' and 1=1。

3）搜索型注入：主要是指在数据搜索时没有过滤搜索参数，一般在链接地址中有 "keyword=“关键字”"，注入点提交的是SQL语句，select * from 表名 where 字段 like '%关键字%' and '%1%'='%1%'。

㈡ 服务器安装了SQL SERVER数据库，总是被攻击怎么办

你可以试以下几个方法同时用，效果会好些：x0dx0a1、修改MSSQL的端口号；x0dx0a2、修改复杂的SA密码，如aKLFJD13aaK_&1@这一类，黑客就无法爆破了；x0dx0a3、打开WIN的自带防火墙，仅开有用的80端口和远程桌面（记住远程桌面端口也改），别开21端口。x0dx0a4、关闭PING功能。x0dx0ax0dx0a用上面的方法可以大大提高你服务器的安全，其他的防火墙有一定的作用，但会占资源。

㈢ 服务器安装了SQL SERVER数据库，总是被攻击，我看了系统日志，每秒钟都提示有攻击者在尝试登录我的SQL

建议安装SQL时设置好sa的密码，不要为空密码为好