首先先随便点开一个连接，地址为: hxxp://www.bjjxxx.com.cn/detail.asp?productid=389，我们在productid=389后面加一个单引号，看看返回什么呢？如图2

    错误信息为: Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e14' [Microsoft][ODBC SQL Server Driver][SQL Server]第 1 行: '' 附近有语法错误。 /detail.asp，行 22

    从上面的返回信息我们得到了以下几个提示:
    1.网站使用的是sql server数据库
    2.是通过odbc来连接数据库
    3.程序应该是有过滤不严密的地方，因为我们输入的单引号已经被程序解吸执行了。
    那么既然这样我们就可以使用 and 1=1 1=2来判断是不是存在注射漏洞。

    通过判断发现该地址存在注射漏洞，马上使用工具检验一下，通过使用阿D注射工具发现，数据库当前库为cw88163_db，当前用户为cw88163，权限为DB_OWNER。如图3