篇隨著B/S模式應用開發的發展，使用這種模式編寫應用程序的程序員也越來越多。但是由于這個行業的入門門檻不高，程序員的水平及經驗也參差不齊，相當大一部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，這就是所謂的SQLInjection，即SQL注入。SQL注入是從正常的WWW端口訪問，而且表面看起來跟一般的Web頁面訪問沒什么區別，所以目前市面的防火墻都不會對SQL注入發出警報，如果管理員沒查看IIS日志的習慣，可能被入侵很長時間都不會發覺。???但是，SQL注入的手法相當靈活，在注入的時候會碰到很多意外的情況。能不能根據具體情況進行分析，構造巧妙的SQL語句，從而成功獲取想要的數據，是高手與“菜鳥”的根本區別。

　　Rails 開發團隊今天上午發布了 3.2.19、4.0.7 和 4.1.3 三個版本，這三個版本修復了 CVE-2014-3482和 CVE-2014-3483兩個 SQL 注入漏洞：

DB Networks的分析數據來自NIST(美國國家標準與技術研究所)的國家漏洞數據庫，分析顯示2014年的SQL注入漏洞數量出現大幅反彈，較2013年增長104%，創下2011年來的新高。

開源內容管理系統 Joomla 釋出了補丁修正了安全研究人員發現的一個 SQL 注入漏洞。該漏洞允許惡意用戶提取分配給網站管理員的瀏覽器 cookie，獲得服務器受限部分的訪問權限。

Ruby on Rails 報 SQL 注入漏洞 (CVE-2012-2661)，版本涉及 3.0 以及以后的版本

The Mole是一款自動化的SQL注入漏洞利用工具。只需提供一個URL和一個可用的關鍵字，它就能夠檢測注入點并利用。The Mole可以使用union注入技術和基于邏輯查詢的注入技術。

The Mole是一款自動化的SQL注入漏洞利用工具。只需提供一個URL和一個可用的關鍵字，它就能夠檢測注入點并利用。The Mole可以使用union注入技術和基于邏輯查詢的注入技術。

根據發表在 Ruby On Rails 安全論壇的一個帖子，Ruby On Rails Web 框架的所有版本都存在一個 SQL 注入漏洞，允許攻擊者在 Web 應用中注入代碼。

SQLiser們又有新工具用了,NT OBJECTives(NTOSpider)推出了一款免費的SQL注入工具NTO SQL Invader,NTO SQL Invader能夠簡單快速的利用web應用程序中的SQL注入漏洞。

Enema 是一款 SQL 注入工具，它不是自動的，僅為知道如何使用的用戶而準備。

如果你以前沒試過SQL注入的話，那么第一步先把IE菜單=>工具=>Internet選項=>高級=>顯示友好 HTTP 錯誤信息前面的勾去掉。否則，不論服務器返回什么錯誤，IE都只顯示為HTTP 500服務器錯誤，不能獲得更多的提示信息。

SQLmap是一款用來檢測與利用SQL注入漏洞的免費開源工具，有一個非常棒的特性，即對檢測與利用的自動化處理（數據庫指紋、訪問底層文件系統、執行命令）。

聽說很多人想學SQL手工注入，但網上的資料都很不全，我在家沒事就幫大家找了一些關于SQL手工注入經典的教程，希望能給大家帶來幫助......SQL注入天書-ASP注入漏洞全接觸收藏引言隨著B/S模式應用開發的發展，使用這種模式編寫應用程序的程序員也越來越多。但是由于這個行業的入門門檻不高，程序員的水平及經驗也參差不齊，相當大一部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。

很多人或許對上半年發生的安全問題“心臟流血”（Heartbleed Bug）事件記憶頗深，這兩天，又出現了另外一個“毀滅級”的漏洞——Bash軟件安全漏洞。這個漏洞由法國GNU/Linux愛好者Stéphane Chazelas所發現。隨后，美國電腦緊急應變中心（US-CERT）、紅帽以及多家從事安全的公司于周三（北京時間9月24日）發出警告。 關于這個安全漏洞的細節可參看美國政府計算安全的這兩個漏洞披露：CVE-2014-6271 和 CVE-2014-7169。

在常見的web漏洞中，SQL注入漏洞較為常見，危害也較大。攻擊者一旦利用系統中存在的SQL注入漏洞來發起攻擊，在條件允許的情況下，不僅可以獲取整站數據，還可通過進一步的滲透來獲取服務器權限，從而進入內網。

所有的網站管理員都會關心網站的安全問題。說 到安全就不得不說到SQL注入攻擊（SQL Injection）。黑客通過SQL注入攻擊可以拿到網站數據庫的訪問權限，之后他們就可以拿到網站數據庫中所有的數據，惡意的黑客可以通過SQL注入 功能篡改數據庫中的數據甚至會把數據庫中的數據毀壞掉。做為網絡開發者的你對這種黑客行為恨之入骨，當然也有必要了解一下SQL注入這種功能方式的原理并 學會如何通過代碼來保護

Hibernate中對動態查詢參數綁定提供了豐富的支持，那么什么是查詢參數動態綁定呢？其實如果我們熟悉傳統JDBC編程的話，我們就不難理解查詢參數動態綁定。

SQLol是一個可配置得SQL注入測試平臺，它包含了一系列的挑戰任務，讓你在挑戰中測試和學習SQL注入語句。SQLol還是比較有創意的項目...

前面我們學習了如何尋找，確認，利用SQL注入漏洞的技術，本篇文章我將介紹一些更高級的技術，避開過濾，繞開防御。有攻必有防，當然還要來探討一下SQL注入防御技巧。