怎么知道網(wǎng)站是否被sql注入？SQL注入通過(guò)網(wǎng)頁(yè)修改網(wǎng)站數(shù)據(jù)庫(kù)。它可以直接在數(shù)據(jù)庫(kù)中添加具有管理員權(quán)限的用戶(hù)，從而獲得系統(tǒng)管理員權(quán)限。黑客可以利用管理員的權(quán)限獲取網(wǎng)站上的文件或在網(wǎng)頁(yè)上掛木馬和各種惡意

怎么知道網(wǎng)站是否被sql注入？

SQL注入通過(guò)網(wǎng)頁(yè)修改網(wǎng)站數(shù)據(jù)庫(kù)。它可以直接在數(shù)據(jù)庫(kù)中添加具有管理員權(quán)限的用戶(hù)，從而獲得系統(tǒng)管理員權(quán)限。黑客可以利用管理員的權(quán)限獲取網(wǎng)站上的文件或在網(wǎng)頁(yè)上掛木馬和各種惡意程序，這將給網(wǎng)站和訪(fǎng)問(wèn)網(wǎng)站的網(wǎng)民帶來(lái)極大的危害。

第一步：很多新手從網(wǎng)上下載SQL通用防注入系統(tǒng)的程序，用在需要防注入的頁(yè)面首頁(yè)，防止他人進(jìn)行手動(dòng)注入測(cè)試。

但是，如果使用SQL注入分析器，則可以輕松跳過(guò)反注入系統(tǒng)并自動(dòng)分析其注入點(diǎn)。您的帳戶(hù)和密碼將在幾分鐘內(nèi)進(jìn)行分析。

第二步：針對(duì)進(jìn)樣分析儀的預(yù)防，通過(guò)實(shí)驗(yàn)找到了一種簡(jiǎn)單有效的預(yù)防方法。首先，我們需要知道SQL注入分析器是如何工作的。在操作過(guò)程中，發(fā)現(xiàn)軟件不是指向“admin”管理員帳戶(hù)，而是指向權(quán)限（如flag=1）。這樣，無(wú)論管理員帳戶(hù)如何更改，都無(wú)法逃脫檢測(cè)。

第3步：由于無(wú)法逃脫檢測(cè)，我們將創(chuàng)建兩個(gè)帳戶(hù)，一個(gè)是普通管理員帳戶(hù)，另一個(gè)是防止注入的帳戶(hù)。如果找到一個(gè)權(quán)限最大的賬號(hào)制造假象，吸引軟件的檢測(cè)，賬號(hào)內(nèi)容超過(guò)1000個(gè)漢字，就會(huì)迫使軟件進(jìn)入分析賬號(hào)加載狀態(tài)的全過(guò)程，甚至出現(xiàn)資源耗盡和崩潰。現(xiàn)在讓我們修改數(shù)據(jù)庫(kù)。

1. 修改表結(jié)構(gòu)。修改管理員帳戶(hù)字段的數(shù)據(jù)類(lèi)型，將文本類(lèi)型更改為最大字段255（實(shí)際上，這就足夠了）。如果你想把它變大，你可以選擇備忘錄類(lèi)型），并設(shè)置相同的密碼字段。

2. 修改表格。在Id1中設(shè)置管理員權(quán)限賬號(hào)，輸入大量漢字（最好超過(guò)100個(gè)字符）。

3. 將真正的管理員密碼放在Id2之后的任何位置（例如ID549）。

我們通過(guò)以上三個(gè)步驟完成了對(duì)數(shù)據(jù)庫(kù)的修改。

此外，您應(yīng)該了解您創(chuàng)建的Id1帳戶(hù)實(shí)際上是一個(gè)具有真正權(quán)限的帳戶(hù)?，F(xiàn)在電腦處理速度這么快，如果遇到軟件一定要計(jì)算出來(lái)，就不安全了。只要管理員登錄頁(yè)面文件上寫(xiě)字符限制就行，即使對(duì)方使用這個(gè)帳號(hào)密碼有上千個(gè)字符也會(huì)被屏蔽，而真正的密碼可以不受限制。