并控制这台服务的目的！”

现场有人都激动得直打颤，我靠，这可得好好学学，等学会了回就把学校的bbs给黑掉，让你他娘的堂饭菜没油，让你考试不给我过关！今天这趟报告会可真是没有白来啊。

“现在的网站，99%都要用到数据库，所谓的sql注，就是利用网站对提数据过滤不严格的漏，在提数据的时候一些数据查询语言，从而获取自己想得到的信息的一黑客手段。”cobra简单介绍了一，也没指望底人的人明白，他在电脑上演示：“比如我现在访问论坛的这个页面，我在网址后面添加了一句sql判断语句，这句代码的意思也很简单，就是问1=1是不是正确的。答案肯定是正确的，所以我一敲回车键，大家就都看到了，页面正常打开了。”

“但如果我问1=2是不是正确的，大家再看，网址提之后，网页无法正常显示，服务返回了错误的提示！这是为什么呢？因为1=2本就是错误的，所以服务在分析之后，认为你提的这个网址是错误的，它就不会显示。”

“那么大家现在想到了什么？”cobra突然问着现场的人。

现场没人回答，这很正常啊，正确的答案就显示，错误的答案就不给显示，这能说明什么问题呢，难问一些1等于几的问题就能侵了吗？

cobra等了一会，看没有人回答，就笑了笑，：“大家想一想，如果我提的sql语句不是询问1=1是不是正确的，而是问论坛理员的账号是不是叫admin啊，他的密码是不是12345啊，那么网页会告诉我们什么样的信息呢？”

顿时就有些人明白过来了，胡一飞是最先明白过来的，妈的，这太神奇，如果论坛理员的账号真的是admin的话，那么网页就会正常显示来，不是的话，网页就错，这一个个试去，总能试理员的账号是什么，还能试他的密码。

cobra看很多人有些明白的样，便继续：“当然，这只是最简单的判断语句了，sql语句有很多，有查询，有判断，有增加，有删除，最重要的是，还有修改。大家想要了解sql注究竟是怎么一回事的话，就得去好好学习一sql语言，这个并不难，语言格式都是固定的，几个小时就可以通了！”

胡一飞大为振奋，原来几个小时就能通啊，自己还以为很难呢。

cobra在论坛上了，：“大家都看到了吧，论坛的理员账号确实叫admin，这个都不用去输查询语句，论坛列表就有显示，我们知了他的账号，去猜他的密码，只是个迟早的事，但这似乎有浪费时间了，我们是不是考虑一使用修改语句呢，我们可不可以利用sql语句直接把他的密码改为12345呢？”

cobra了论坛登录，输账号admin，然后又输密码12345，登陆的时候，论坛提示密码错误，无法登陆，“大家看到了吧，理账号此时的密码并不是12345，现在我们使用刚才的方法，在网址后面sql语句，将它的密码修改为12345。”

噼里啪啦在一个网址后面输一大段sql语句，一敲回车，网页正常显示了，cobra就：“现在页面正常显示了，这就是告诉我们，密码修改成功了，如果不成功的话，是会提示错误的！”

cobra又回到登陆界面，输了账号和密码12345，这回大家看得非常清楚，竟然顺利登陆了，密码已经变成了12345。这也太神奇了吧，只是往平时司空见惯的网址后面添加了一小段代码，竟然就把理员的密码给修改了，要不是亲所见，大家谁也不敢相信啊。