日期:2014-05-17  浏览次数:20961 次

数据库被清空
语言:asp
  数据库:MsSql2005 sp4
  我一个网站的数据库被人恶意删除,经过测试发现对方应该是通过我网站的漏洞,在不知道我数据库用户名密码Ip的情况下删除我的数据库的。
  我想问下大神,在使用注入的时候可以构造出删除数据库表这样的语句么?

------解决方案--------------------
可以,如果asp连接串中的账户有删除权限并能查系统数据表的话。查sysobjects表就知道表名了,然后一样注入删除就可以了。
------解决方案--------------------
检查程序中的sql语句,写个过滤sql语句的函数,一般页面或地址栏有传值到sql语句中的地方都有可能注入