所以,我正在使用Rapid7的指南测试我的网站上的SQL注入,其中一部分说:
检查sa -
SELECT+ASCII(SUBSTRING((a.loginame),1,1))
+FROM+master..sysprocesses+AS+a
+WHERE+a.spid+=+@@SPID)=115
在此之后,该网站立即崩溃并且不会重新加载。我认为由于它是"检查",它实际上不会影响服务器本身。有没有理由说这显然会取下服务器?
谢谢。
编辑:大约15分钟后重新开始。
答案 0 :(得分:0)
即使您的查询以某种方式"危险",它也绝不会锁定服务器。这些表在你的regupar操作中没有被引用,并且没有任何大小来构成任何类型的IO威胁。
首先,让我们首先介绍您为什么要寻找特定的SPID。这次会议在做什么?为什么你觉得首先需要查找会话ID?是的,我知道你正在测试...但是你肯定在这里有一个理由,而不是逐字逐句。
其次,查看崩溃前系统缓存的日志和最新查询。有没有大型的,可怕的IO?更新,合并?有什么昂贵的DDL / DML吗?几个查询是否锁定了?
在此期间是否有任何服务飙升? (注意这不应该干扰,除非系统管理员忘记为SQL Server分配内存)
显然,这个故事还有更多内容,你需要找出答案。
答案 1 :(得分:-1)
为什么这显然会取下服务器?
不,没有理由说这显然会取下服务器
您缺少相关代码。
这没什么。