① 以sql为后缀的文件如何使用,如何打开
.sql的文件都是数据库的文件,一般是对数据库操作的sql语言文件,可能是一些selece 句子等。对这些文件的打开,一是用edit plus打开,没有的话可以去下一个。二是用sql plus打开。
② 我有一个*.sql文件,应该怎样使用
你建一个SQLSERVER,然后建一个库,或者ISQL。EXE,或者打开查询分析期,直接打开这个。SQL文件,运行即可
出现这个问题,你先把该DATABASE的属性设置为OFFLINE,即可
③ sql 数据库文件怎么使用
方法/步骤
1、找到要打开的数据库文件,如图
2、如图所示,该数据库文件后缀名为.mdf,是SQL Server数据库的数据文件,这里将用SQL Server数据库对该文件进行打开。启动SQL Server数据库,如图
3、图为启动SQL Server Management Studio时的界面,登录后可以管理数据库数据。开启之后的界面如图
4、提示用户输入用户名和登录密码,输入正确后,点击登录,进入管理界面,如图
5、进入管理界面后,右键选择数据库,再选择【附加】功能,如图
6、点击【附加】后,出现窗口,如图
7、在【附加数据库】窗口中,点击【添加】按钮,提示选择要附加的数据库,如图
8、选种要添加的数据库,点击确定,在管理界面中会出现添加的数据库,如图
9、打开数据库,就可以看到数据库中的表,表中的数据都可以看到。如图
注意事项
按以上步骤来,就可以打开数据库文件。
不要直接点右键进行打开,可能会对文件告成损坏。
④ 如何利用SQL注入制造一个后门
在数据库中有一些叫做“触发器”的东西,基本的意思就是——“当某些我们希望发生的事情发生时,触动触发器去做另外一些事情”。这描述的确实太模糊了,然我们举一个更明显的例子。假如你是一个警察,某一时刻你看到一个连环杀手,你扣动扳机并且发射出一枚子弹对么?那么把他转换为我们之前的场景——有一个INSERT语句(杀手),一个Database trigger(枪手)开火了,那么动作(action)就是释放你之前已经配置(configured)好的子弹(bullet)。
下面使我们要写的一个MySQL触发器的例子:
delimiter #
CREATE TRIGGER price BEFORE INSERT ON books
for each row begin
set new.price=’0′;
end;#
delimiter ;
b)无论任何时候如果我们执行一个Insert语句,比如假如一本书,那么我们设置其价格为0.下面是它的意思:
a)设置默认的MySQL分隔符为’#',因为默认的分隔符是’;'在MySQL作为特殊字符处理了,而我们需要将其作为数据处理。所以我们改变分隔符为’#',表示’#'现在有一个特殊的含义。
c)终止触发器并将分隔符重置为’;'。
然我们使用Sql Injection将触发器复制到服务器上。下面是要作为搜索框输入的语句:
Harry Potter’ AND 1=0 union select 0×20,0×20,0×20 INTO OUTFILE ‘/var/www/test/g2′ LINES TERMINATED BY 6d69746572203b#
我会快速解释一下这个查询语句—因为即使看起来它很复杂—其实不然。我们使用1=0因为我们对关于《Harry Potter》的查询结果并不感兴趣。0×20的位置只是查询了三次空格’space’;这是为了我可以仅仅得到想要重定向到文件’/var/www/test.g2′中的内容。然后LINES TERMINATED BY后面的部分是整个触发器使用hex函数转换后的形式(我是用的是Brup Decoder,不要坐在那儿浪费时间去手工转化它)。
让我们运行一下看看会在文件/var/www/test/g2中出现什么。
你注意到了最开始的几个空格了么?这就是我们之前看到的select 0×20,0×20,0×20的作用。之后的内容就显而易见了。
现在我们以某种方式执行这个查询然后我们的触发器会在每次一本书被插入时激活,这里有三种实现的方法。
a)多语句查询(Stacked Queries)—Harry Potter’ UNION blah blah blah;source /var/www/test/g2但是这事实上不会成功执行,因为PHP+MySQL不支持多语句查询。
b)滥用MySQL默认触发器行为(Abusing MySQL default trigger behavior)—这种方法我还没有测试过,不过在Stefano Di Paola的文章中被描述的非常清楚。尝试一下吧,我找时间也会测试一下。
c)使用SQL Injection工具比如SQLMap运行我们存放在/var/www/test/g2中保存的触发器。这是我们将要测试的方法。
我们来再次运行SQLMap并获得一个我们可以运行触发器的SQL shell。
看最后一行。不幸的是,只有当支持多语句查询时,这种方法才可以执行。这意味着上面的选项a,c意味着同一种情况。让我们通过代理来查看SQLMap的请求。
让我们在Sql-shell中执行一个简单的创建新数据库的语句—”create database boo;”并在Brup中查看。
⑤ 如何利用SQL注入制造一个后门
0×01,介绍…
0×02,什么是Sql Injection..
0×03,一个系统后门(OS)Backdoor.
0×04,获得一个OS Shell
0×05,一个数据库后门(Database backdoor).
0×07,推荐的防御措施…
0×08,结论…
0×09,参考…
0×01,介绍
如果你正在读这篇文章那么我有理由相信你曾经听说过一种病毒,或者是它一种特洛伊木马或者蠕虫,这类恶意程序可以感染你的计算机系统。一旦你的计算机系统被感染,那么当你使被感染的计算机连接到互联网,它很可能会去感染其他的计算机。许多时候,恶意软件不仅仅只是从一台计算机传播到另一台,他们会针对每一台感染的计算机进行自身的变异。这些变化将会让病毒远程的控制每一台计算机并使它们在之后感染更多的计算机系统。这些病毒第一次执行时会复制一个小型的可执行文件到用户的磁盘上,这个可执行文件仅仅会监听在当前计算机系统未使用的端口上从而恶意软件可以在被感染主机连入互联网的任意时刻访问这台主机。这个小的可执行文件叫做后门(Backdoor)。我在这里已经简要的说明了后门的概念。
0×02,什么是Sql Injection
已经有超过1百万的文章讲述了什么是Sql注入并且怎样去发现和怎样去避免这类威胁,所以我不想再次重复。如果你需要了解一些关于Sql注入的背景知识,这里有一个介绍性文章的连接可以供你阅读。这篇文章末尾我也提供了一些参考资料可以让你针对这篇文章所讨论的话题获得更多的知识信息。
0×03,一个系统后门(OS)Backdoor
这篇文章的目的是利用Sql Injection执行各种各样的命令最终控制操作系统。为了运行系统命令,我们需要一个CMD shell,或者需要执行一些代码使得我们可以执行OS命令。让我们分别尝试一下这两种方法。
0×04,获得一个OS Shell
现在我们将写我们自己的代码使之可以让我们运行任意OS命令来控制操作系统。所以,从之前的文章中我们已经知道搜索部分的变量存在Sql Injection并且在question表中存在4个列名。作为提示,语句Harry Potter’ union select 1,2,3,4#将会出现错误:
现在,我们想插入可以执行系统命令的PHP代码。为了实现这个目的,我们使用MYsql提供的INTO OUTFILE特性。使用Using INTO OUTFILE,可以将查询的输出重定向到系统的文件中去。真因为如此,我们可以执行Harry Potter’ union select ‘TEXT INTO FILE’,2,3 INTO OUTFILE ‘/tmp/blah.txt’#,然后字符串‘TEXT INTO FILE’将会被存储在目录/tmp下的blah.txt中。如图:
⑥ sql脚本文件怎么用
一般要建立能够发布数据的数据库网站,需要的因素:RDBMS 数据库程序(象MS Access, SQL Server, 做网站接触比较多的就是MySQL);服务器端脚本语言(比如 PHP 或 ASP,JSP);SQL;HTML / CSS
一、SQL格式是什么文件
结构化查询语言(Structured Query Language)简称SQL,结构化查询语言是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统;同时也是数据库脚本文件的扩展名。结构化查询语言是高级的非过程化编程语言,允许用户在高层数据结构上工作。它不要求用户指定对数据的存放方法,也不需要用户了解具体的数据存放方式,所以具有完全不同底层结构的不同数据库系统可以使用相同的结构化查询语言语言作为数据输入与管理的接口。结构化查询语言语句可以嵌套,这使他具有极大的灵活性和强大的功能。
结构化查询语言中的五种数据类型:字符型,文本型,数值型,逻辑型和日期型
二、SQL文件怎么打开
SQL为数据库脚本文件,因为一般不是做编程的朋友可能电脑中不会装有sql server这个软件,非常大。所以大家最好用数据库的查询分析器打开,或者你拿记事本也可以打开。鼠标右击文件,打开方式选择记事本就可以了。如果特殊需要可以下载ultraEdit可以编辑文本、十六进制、ASCII 码,功能挺强大。
也可能是mysql文件,使用方法就是通过自带的工具导入到数据库中即可。
⑦ 后缀为sql的文件怎么用
首先很多软件可以导入如mysql-front打开数据库有个输入sql文件
命令行下
create
database
admin;
use
admin;
source
g:\admin.sql;
你试一下吧
⑧ 如何利用SQL注入制造一个后门
思路最重要。其实好多人都不知道SQL到底能做什么呢?这里总结一下SQL注入入侵的总体的思路:
1. SQL注入漏洞的判断,即寻找注入点
2. 判断后台数据库类型
3.
确定XP_CMDSHELL可执行情况;若当前连接数据的帐号具有SA权限,且master.dbo.xp_c窢供促佳讵簧存伪担镰mdshell扩展存储过程(调用此存储过程可以直接使用操作系统的shell)能够正确执行,则整个计算机可以通过几种方法完全控制,也就完成了整个注入过程,否则继续