SQL注入：手工测试，预防注入漏洞

执行以下操作，若出现错误提示，可能就存在注入漏洞

1、单引号 等特殊字符

            输入：     ' 、# 、 = 、 %  等等

           结果:如果出现错误提示如网络错误或者没反应（未给出无数据的提示），则该网站可能就存在注入漏洞。 

2、数字型判断是否有注入

            语句： and 1=1;and 1=2 （经典） 或   ' and '1'=1  (字符型）   或  1′ and 1=1 –+

            分析：and 的意思是“和”如果没有过滤我们的语句，and 1=1就会被代入sql查询语句进行查询， 如果and前后的两条语句都是真的话就不会出错，但如果前后语句有一个为假的话，程序就会暴错。 也就表明程序有注入漏洞 

3、%5c    

4、conn.asp

5、and%20ord(substr(database(),1,1))>80+–+