语言:asp
数据库:MsSql2005 sp4
我一个网站的数据库被人恶意删除,经过测试发现对方应该是通过我网站的漏洞,在不知道我数据库用户名密码Ip的情况下删除我的数据库的。
我想问下大神,在使用注入的时候可以构造出删除数据库表这样的语句么?
------解决方案--------------------
可以,如果asp连接串中的账户有删除权限并能查系统数据表的话。查sysobjects表就知道表名了,然后一样注入删除就可以了。
------解决方案--------------------
检查程序中的sql语句,写个过滤sql语句的函数,一般页面或地址栏有传值到sql语句中的地方都有可能注入