编者按：SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户，从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序，对网站和访问该网站的网友都带来巨大危害。

    现实的年代,现在失业率那可是想当的高,每天人才市场一开门，那家伙,那场面,那是相当大呀！那真是：锣鼓喧天，鞭炮齐鸣，红旗招展，人山人海呀...

    于是就跑到网上投简历，叫朋友介绍了一个本地的人才网站，随便看了一看URL，在URL上加了“’”，冒出个“ [Microsoft][ODBC SQL Server Driver][SQL Server]字符串 ''11237'' order by regtime desc'' 之前有未闭合的引号。”的错误提示。再加了一个AND 1=1 和 AND 1=2 返回不同页面，经过初步判断，有注入的漏洞。呵呵，觉得自己太有才了！（小编：那是相当有才~~~）

    经过NBSI一顿乱扫，可以注入出表和字段，没找到管理员后台，DBO权限，却没路径，不能getwebshell。旁注不想看，我是来投简历的。不过，发现他站的首页的右下角，有显示新闻动态.有调用这些数据。