sqil判断是否注入

1.Sql注入产生原因及威胁
 刚刚讲过当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求，如果权限验证通过就会执行 Sql 语句。 这种网站内部直接发送的Sql请求一般不会有危险，但实际情况是很多时候需要结合用户的输入数据动态构造 Sql 语句，如果用户输入的数据被构造成恶意 Sql 代码，Web 应用又未对动态构造的 Sql 语句使用的参数进行审查，则会带来意想不到的危险。

Sql 注入带来的威胁主要有如下几点猜解后台数据库，这是利用最多的方式，盗取网站的敏感信息。绕过认证，列如绕过验证登录网站后台。
注入可以借助数据库的存储过程进行提权等操作

2.判断sql注入点

通常情况下，可能存在 Sql 注入漏洞的 Url 是类似这种形式 ：http://xxx.xxx.xxx/abcd.php?id=XX 对 Sql 注入的判断，主要有两个方面：

判断该带参数的 Url 是否存在 Sql 注入？
如果存在 Sql 注入，那么属于哪种 Sql 注入？
 可能存在 Sql 注入攻击的 ASP/PHP/JSP 动态网页中，一个动态网页中可能只有一个参数，有时可能有多个参数。有时是整型参数，有时是字符串型参数，不能一概而论。总之只要是带有参数的 动态网页且此网页访问了数据库，那么就有可能存在 Sql 注入。如果程序员没有足够的安全意识，没有进行必要的字符过滤，存在SQL注入的可能性就非常大。

 最为经典的单引号判断法： 在参数后面加上单引号,比如:

在这个强烈推荐：Sql注入基本原理_猿小雷的博客-CSDN博客_sql注入攻击的原理，这个文件讲的特别详细。