SQL Injection可谓是长盛不衰的话题了，从ASP+MSSQL到PHP+MYSQL，一路走来也可谓是一路艰辛，同时也造就了这个技术领域内高手如云：Pskey、小勇、isno等人成为一代偶像人物。其实只要我们灵活利用SQL语句，说不定就会给自己带来意外的收获，自己也能过过高手瘾呢!本文是写给菜鸟看的，高手们别砍我哦!谁叫我也是菜鸟一只呢!

　　现在很多大型网站，像银行、政府网站一般采用的是JSP+Oracle，从WEB程序来看，普遍存在的问题还是很严重的，希望广大的程序员管理人员注意这方面的安全隐患。. 今天我们的目标也是JSP+Oracle的网站，对它进行SQL Injection的测试，希望达到引伸、开拓这种技术的目的。日标站点：http://www.****jp.cn/viewBulletin.do?type=C&bulletin_id=200404010797。如图1所示。

　　图1

　　首先我们看看Oracle的系统数据库：

　　all_tables 存放当前ID和其他用户的所有表。

　　user_tables 存放当前用户所有表。

　　user_tab_columns 存放当前用户表的所有列。

　　这些东西是后面操作的基础，是非常重要的。下面就看具体的操作过程了。