引自http://www.05112.com/Article/200908/26674.html
网站SQL注入漏洞全接触（高级篇）
文章整理发布：黑客风云 内容关注度：
291 更新时间：2009-8-15 6:36:47
看完入门篇和进阶篇后，稍加练习，破解一般的网站是没问题了。但如果碰到表名列名猜不到，或程序作者过滤了一些特殊字符，怎么提高注入的成功率？怎么样提高猜解效率？请大家接着往下看高级篇。
第一节、利用系统表注入SQLServer数据库
　　SQLServer是一个功能强大的数据库系统，与操作系统也有紧密的联系，这给开发者带来了很大的方便，但另一方面，也为注入者提供了一个跳板，我们先来看看几个具体的例子：
　　① http://Site/url.asp?id=1;exec master..xp_cmdshell “net user name password /add”--
　　分号;在SQLServer中表示隔开前后两句语句，--表示后面的语句为注释，所以，这句语句在SQLServer中将被分成两句执行，先是Select出ID=1的记录，然后执行存储过程xp_cmdshell，这个存储过程用于调用系统命令，于是，用net命令新建了用户名为name、密码为password的windows的帐号，接着：
　　② http://Site/url.asp?id=1;exec master..xp_cmdshell “net localgroup nam ......

 SQL 是一门 ANSI 的标准计算机语言，用来访问和操作数据库系统。SQL 语句用于取回和更新数据库中的数据。SQL 可与数据库程序协同工作，比如 MS Access、DB2、Informix、MS SQL Server、Oracle、Sybase 以及其他数据库系统。
不幸地是，存在着很多不同版本的 SQL 语言，但是为了与 ANSI 标准相兼容，它们必须以相似的方式共同地来支持一些主要的关键词（比如 SELECT、UPDATE、DELETE、INSERT、WHERE 等等）。
注释：除了 SQL 标准之外，大部分 SQL 数据库程序都拥有它们自己的私有扩展！
常用语句
SELECT * from Persons WHERE LastName IN ('Adams','Carter')
SELECT * from Persons WHERE LastName BETWEEN 'Adams' AND 'Carter' （字母顺序）
SELECT * from Persons WHERE LastName NOT BETWEEN 'Adams' AND 'Carter'
使用别名（表和字段都能别名）
SELECT po.OrderID, p.LastName, p.FirstName
from Persons AS p, Product_Orders AS po
WHERE p.LastName='Adams'
WHERE p.FirstName='John'
SELECT LastName AS Family, FirstName AS Name
from Persons
多表查询
SELECT Persons.LastName, Persons.FirstName, Orders.OrderNo
from Persons, Orders ......

使用整数数据的精确数字数据类型。
 bigint 从 -2^63 (-9223372036854775808) 到 2^63-1 (9223372036854775807) 的整型数据（所有数字）。
              存储大小为 8 个字节。
 int 从 -2^31 (-2,147,483,648) 到 2^31 - 1 (2,147,483,647) 的整型数据（所有数字）。
              存储大小为 4 个字节。
int 的 SQL-92 同义字为 integer。 smallint 从 -2^15 (-32,768) 到 2^15 - 1 (32,767) 的整型数据。
              存储大小为 2 个字节。
 tinyint 从 0 到 255 的整型数据。
              存储大小为 1 字节。
 注释
      在支持整数值的地方支持 bigint 数据类型。但是，bigint 用于某些特殊的情况，当整数值超过 int 数据类型支持的范围时，就可以采用 bigint。在 SQL Server 中，int 数据类型是主要的整数数据类型。 在数 ......

sql server2000中使用convert来取得datetime数据类型样式（全）
日期数据格式的处理，两个示例：
CONVERT(varchar(16), 时间一, 20) 结果：2007-02-01 08:02/*时间一般为getdate()函数或数据表里的字段*/
CONVERT(varchar(10), 时间一, 23) 结果：2007-02-01 /*varchar(10)表示日期输出的格式，如果不够长会发生截取*/
语句及查询结果：
Select CONVERT(varchar(100), GETDATE(), 0): 05 16 2006 10:57AM
Select CONVERT(varchar(100), GETDATE(), 1): 05/16/06
Select CONVERT(varchar(100), GETDATE(), 2): 06.05.16
Select CONVERT(varchar(100), GETDATE(), 3): 16/05/06
Select CONVERT(varchar(100), GETDATE(), 4): 16.05.06
Select CONVERT(varchar(100), GETDATE(), 5): 16-05-06
Select CONVERT(varchar(100), GETDATE(), 6): 16 05 06
Select CONVERT(varchar(100), GETDATE(), 7): 05 16, 06
Select CONVERT(varchar(100), GETDATE(), 8): 10:57:46
Select CONVERT(varchar(100), GETDATE(), 9): 05 16 2006 10:57:46:827AM
Select CONVERT(varchar(100), GETDATE(), 10): 05-16-06
Select CONVERT(varchar(100), GETDATE(), 11): 06/05/16
Se ......

參考: http://blog.sina.com.cn/s/blog_59b11d010100af1n.html
如何恢复/修复MS SQL数据库的MDF文件
如果备份的数据库有2个文件，分别是.LDF 和 .MDF，打开企业管理器，在实例上右击---所有任务--附加数据库，然后选择那个.MDF文件，就可以了。
　　或者在查询分析器中输入：
　　sp_attach_db "数据库名称","路径\文件名.ldf","路径\文件名.MDF"
　　SQL Server数据库备份有两种方式，一种是使用BACKUP DATABASE将数据库文件备份出去，另外一种就是直接拷贝数据库文件mdf和日志文件ldf的方式。下面将主要讨论一下后者的备份与恢复。本文假定您能熟练使用SQL Server Enterprise Manager(SQL Server企业管理器)和SQL Server Quwey Analyser(SQL Server查询分析器)
　　1、正常的备份、恢复方式
　　正常方式下，我们要备份一个数据库，首先要先将该数据库从运行的数据服务器中断开，或者停掉整个数据库服务器，然后复制文件。
　　卸下数据库的命令：Sp_detach_db 数据库名
　　连接数据库的命令：Sp_attach_db或者sp_attach_single_file_db
　　s_attach_db [@dbname =] 'dbname', [@filename1 =] 'filename_n' [,...16]
　　sp_attach_single_file_db ......

 [C#]
public void RunSqlTransaction(string myConnString)
{
    SqlConnection myConnection = new SqlConnection(myConnString);
    myConnection.Open();
    SqlCommand myCommand = myConnection.CreateCommand();
    SqlTransaction myTrans;
    // Start a local transaction
    myTrans = myConnection.BeginTransaction();
    // Must assign both transaction object and connection
    // to Command object for a pending local transaction
    myCommand.Connection = myConnection;
    myCommand.Transaction = myTrans;
    try
    {
      myCommand.CommandText = "Insert into Region (RegionID, RegionDescription) VALUES (100, ´Description´)";
      myCommand.ExecuteNonQuery();
      myCommand.CommandText = "Insert into ......

 [C#]
public void RunSqlTransaction(string myConnString)
{
    SqlConnection myConnection = new SqlConnection(myConnString);
    myConnection.Open();
    SqlCommand myCommand = myConnection.CreateCommand();
    SqlTransaction myTrans;
    // Start a local transaction
    myTrans = myConnection.BeginTransaction();
    // Must assign both transaction object and connection
    // to Command object for a pending local transaction
    myCommand.Connection = myConnection;
    myCommand.Transaction = myTrans;
    try
    {
      myCommand.CommandText = "Insert into Region (RegionID, RegionDescription) VALUES (100, ´Description´)";
      myCommand.ExecuteNonQuery();
      myCommand.CommandText = "Insert into ......