　　这句语句很简单，但却包含了SQLServer特有注入方法的精髓，我自己也是在一次无意的测试中发现这种效率极高的猜解方法。来看看它的含义：首先，前面的语句是正常的，重点在and user>0， user是SQLServer的一个内置变量，它的值是当前连接的用户名，类型为nvarchar。拿一个nvarchar的值跟int的数0比较，系统会先试图将nvarchar的值转成int型，当然，转换过程中肯定会出错，SQLServer的出错提示是：将nvarchar值 ”abc” 转换数据类型为 int 的列时发生语法错误， abc正是变量user的值，这样，就很容易拿到了数据库的用户名。

　　众所周知，SQLServer的用户sa是个等同Adminstrators权限的角色，拿到了sa权限，几乎肯定可以拿到主机的Administrator了。上面的方法可以很方便的测试出是否是用sa登录，要注意的是：如果是sa登录，提示是将”dbo”转换成int的列发生错误，而不是”sa” 。

　　在确认可以注入的情况下，使用下面的语句：　 http://www.xxx.com/1.asp?id=1 and (select count(*) from sysobjects)>0
http://www.xxx.com/1.asp?id=1 and (select count(*) from msysobjects)>0
　　如果数据库是SQLServer，那么第一个网址的页面与原页面http://www.xxx.com/1.asp?id=1是大致相同的;而第二个网址，由于找不到表msysobjects，会提示出错，就算程序有容错处理，页面也与原页面完全不同。

　　如果数据库用的是Access，那么情况就有所不同，第一个网址的页面与原页面完全不同;第二个网址，则视乎数据库设置是否允许读该系统表，一般来说是不允许的，所以与原网址也是完全不同。大多数情况下，用第一个网址就可以得知系统所用的数据库类型，第二个网址只作为开启IIS错误提示时的验证。

其次，根据注入参数类型，组织SQL语句，按参数类型主要分为下面三种：

　　(1) ID=1 这类注入的参数是数字型，SQL语句原貌大致如下：

　　Select * from 表名 where 字段=1

　　注入的参数为ID=49 And [查询条件]，即是生成语句：

　　Select * from 表名 where 字段=1 And [查询条件]

　　(2) Class=名称这类注入的参数是字符型，SQL语句原貌大致概如：Select * from 表名 where 字段=’动物名称’

　　注入的参数为Class=动物名称’ and [查询条件] and ‘’=’ ，即是生成语句：

　　Select * from 表名 where 字段=’动物名称’ and [查询条件] and ‘’=’’

　　(3) 搜索时没过滤参数的，如keyword=关键字，SQL语句原貌大致如下：

　　Select * from 表名 where 字段like ’%关键字%’

　　注入的参数为keyword=’ and [查询条件] and ‘%’=’，即是生成语句：