SQL注入攻击的原理及其防范措施 　　当然这个过程是很烦琐的而且要花费很多的时间，如果只能以这种手动方式进行SQL注入入侵的话，那么许多存在SQL注入漏洞的ASP网站会安全很多了，不是漏洞不存在了，而是利用这个漏洞入侵的成本太高了。但是如果利用专门的黑客工具来入侵的话，那情况就大大不同了。手动方式进行SQL注入入侵至少需要半天或一天乃至很多天的时间，而利用专门的工具来入侵就只需要几分钟时间了（视网速快慢决定），再利用获得的管理帐号和密码，上传一个从网上下载的ASP后门程序，就轻易获得整个网站的管理权限了，甚至整个服务器的管理权限。最有名的一种SQL注入入侵工具是NBSI 2.0，现在已经出到2.0版本了，不过，人家正式名称不叫SQL注入入侵工具，而叫做网站安全漏洞检测工具。有了这个所谓的检测工具，使得入侵存在SQL注入漏洞的ASP网站成了小儿科的游戏，那些既不懂ASP又不懂SQL、年纪小小的男性青年常常得以在一天之内入侵十多个ASP网站，他们以此获得内心的极大满足。他们似乎也非常讲究职业道德，往往并不破坏网站数据和系统，常见的破坏方式大都仅仅是改换掉网站的主页，留下"善意的警告"，如：你的网站存在SQL注入漏洞，请管理员做好防范措施！并声明"我没有破坏数据和系统"，有的还要借机发布一下他的倡导："国内网站大家不要入侵，有本事入侵小日本的！"，最后，签上他的鼎鼎大名是必不可少的程序。
　　 如此大的成就多数情况下仅需动动鼠标就做到了。打开最新版的NBSI 2.0，如图1所示：输入地址到A区，注意网址必须是带传递参数的那种，点击右边的检测按钮，即出来B区信息，显示当前用户为sonybb的权限为PUBLIC，当前库为lawjia。有点可惜啊，如果是SA权限的话，就可以跨库注入了。不过，这个权限也足够获取该网站管理员帐号和密码了。点C区下的自动猜解按钮，即出来当前库lawjia中的各种表，哇，login表中一定是存管理员帐号和密码的吧？选中它吧，接着点击D区下的自动猜解按钮，立即出来login表里的列名称，果然是存放用户名和密码的啊，太棒了！赶快打上勾，迫不急待的点击E区下的自动猜解按钮。激动人心的时刻就要到来啦，只见唰唰地几下，帐号与密码全部出来了。剩下的事就是辨别哪一个帐号是杰理员了。
程序主要要做两件事，最重要的一件事，当然是对客户端提交的变量参数进行仔细地检测啦。对客户端提交的变量进行检查以防止SQL注入，有各种方法，到网上搜索一下，你能获得许多有益信息。这里介绍一种现成的方法，别人已经写好了检测代码，拿来用一下，不用自己辛苦啦。那就是"枫叶SQL通用防注入V1.0 ASP版"，这是一段对用户通过网址提交过来的变量参数进行检查的代码，发现客户端提交的参数中有"exec、insert、select、delete、from、update、count、user、xp_cmdshell、add、net、Asc"等用于SQL注入的常用字符时，立即停止执行ASP并给出警告信息或转向出错页面。大家可以到网上搜索一下，下载这段代码，存为一个ASP页面，如checkSQL.asp，把这个页面include到每个需要带参数查询SQL数据库ASP页面中，记住，只要加一行这样的代码就行了。
　　 程序员要做的第二件事是给用户密码加密啦。比如用MD5加密。MD5是没有反向算法,不能解密的。人家即使知道经加密后存在数据库里的像乱码一样的密码，他也没办法知道原始密码了。不过，人家可以用UPDATE方法用他的密码代替你的密码，但这个操作还是有点麻烦，人家可能会怕麻烦而放弃。而那个所谓的网站安全漏洞检测工具NBSI 2.0是没有提供UPDATE操作功能的，所以用MD5加密后，人家仅用NBSI 2.0而不辅以手动操作的话，就不可能获得网站管理员帐号的密码，这将挡住许多菜鸟级的攻击者，至少那些既不懂ASP又不懂SQL、年纪小小的男性青年是没有办法啦！