为了防止程序SQL语句错误以及SQL注入,单引号必须经过处理。有2种办法: 1、使用参数,比如SELECT * FROM yourTable WHERE name = @name; 在Java中就是用预处理PreparedStatement来添加参数。 2、如果不用参数,而用字符串拼接的话,单引号必 ...
分类:
数据库 时间:
2017-06-09 11:50:23
阅读次数:
284
--exec master..xp_cmdshell CMD命令 --EXECUTE sys.sp_sqlexec 执行存储 --EXEC sp_executesql 执行DML语句 ...
分类:
其他好文 时间:
2017-05-31 12:10:41
阅读次数:
196
--方法1: EXEC xp_dirtree '\\172.6.6.6\D$\TEXT\',1,1 --方法2: CREATE TABLE #TXT_Name (NAME VARCHAR( 2000)) SET @iSQL='DIR \\172.6.6.6\D$\TEXT\ /ON/B >D:\TE... ...
分类:
其他好文 时间:
2017-05-31 11:56:52
阅读次数:
210
SQL Server BCP 导入导出使用 Bcp 导出导入数据高效,比使用SQL Server Management Stdio 提供的数据库导出导入要高效因为sql server 也没有提供提供类似oracle的expdp和impdp的工具,如果用SQL Server Management St ...
分类:
数据库 时间:
2017-05-26 19:40:01
阅读次数:
269
错误信息描述 消息 15281,级别 16,状态 1,过程 xp_cmdshell,第 1 行SQL Server 阻止了对组件 'xp_cmdshell' 的 过程 'sys.xp_cmdshell' 的访问,因为此组件已作为此服务器安全配置的一部分而被关闭。系统管理员可以通过使用 sp_conf ...
分类:
数据库 时间:
2017-05-18 11:27:28
阅读次数:
256
sa权限获取webshell思路1.通过SQL查询分析器通过sa权限首先恢复xp_cmdshell存储过程。2.通过SQLTools2.0连接数据库,执行命令,查看网站路径以及磁盘文件,获取网站的真实路径。3.echo生成一句话后门。4.直接获取webshell权限。5.如果echo生成的一句话后门无法执行,可以通过查..
分类:
Web程序 时间:
2017-05-15 22:28:14
阅读次数:
163
有时需要允许bcp指令 -- 允许配置高级选项EXEC sp_configure 'show advanced options', 1GO-- 重新配置RECONFIGUREGO-- 启用xp_cmdshellEXEC sp_configure 'xp_cmdshell', 1GO--重新配置REC ...
分类:
数据库 时间:
2017-01-17 20:02:23
阅读次数:
221
-- 来源于网络 -- 更详细的介结参考联机帮助文档 xp_cmdshell --*执行DOS各种命令,结果以文本行返回。 xp_fixeddrives --*查询各磁盘/分区可用空间 xp_loginconfig --*报告SQL Server 实例在Windows 上运行时的登录安全配置 xp_ ...
分类:
数据库 时间:
2016-12-26 21:33:54
阅读次数:
224
备份 USE MASTER GO EXEC sp_configure 'show advanced options', 1; RECONFIGURE WITH OVERRIDE; EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE WITH OVERRID ...
分类:
数据库 时间:
2016-12-11 01:25:43
阅读次数:
296