3

骇客的第一特质：有耐心。笔者因此就没有做骇客的天赋，为了撰写这篇文章，笔者反反复覆地测试各个网站，重复的过程非常乏味，所得结论是既然有这个精力，笔者宁愿多看点书，赚取正当的收入。

SQL Injection – 骇客的 SQL填空游戏(下)

SQL Server 本身提供了非常多的函数、预存程序、延伸预存程序来辅助 T-SQL，好让程序设计师透过 T-SQL 完成商业逻辑运作所需的预存程序。但一般的使用者较熟悉以 Visual Basic 等程序语言来撰写存取资料的程序，因而对此类的功能所知不多，更别提要如何防范骇客透过这一类的功能来遂行其目的。

使用具破坏力的语法

以下列举部分的功能稍做讨论。

停掉 SQL Server 的执行

直接输入 Shutdown 命令，要求 SQL Server 停止执行。在网页上输入帐号的地方可以直接键入以下语法便可：

'''' ;SHUTDOWN--

破坏内容

当然，只要权限够，也可以执行有破坏性的 SQL 语法¹ 。如删除某个数据库：

'''' ;DROP Database <数据库名称>--

删除数据库内某个资料表：

'''' ;DROP Table <资料表名称>--

清空某个资料表：

'''' ;Truncate Table <

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10]  ...  下一页 >>