SQL注入工具大比拼

1）对某些明明有漏洞的站点检测不出，提示无漏洞，此时也只能改用其它软件了，我个人经验认为此时用NBSI比较好，如果连NBSI都检测不出的话，就只能放弃这个注入点了。

2）对MSSQL数据库错误提示开启时依旧采用了字典穷举的方式，而没有像其它软件采取暴字段的方式，因此速度会很慢而且支持也不是很好，这时要是遇见“***_admin”这类字典里没有表名就有些力不从心了。只会出现几个默认的表。

3）偶尔在穷举密码时会出现“检测长度已超过50……”这样的错误。

实际上并没有，如果换成WED或NBSI的话便可以轻易拿到密码。一般时如果啊D在通用的表下注入成功，那么WED也可以，不过啊D是GUI界面的，一切可控而且由于它提交的是Ascii代码，因此可以暴出中文密码来，这是只通过数字+字母+符号穷举的WEB所不能的。

4）还有一个不足之处就是当我们已经暴到想要的表（如admin），想要进一步暴列，或是暴了列想进一步暴密码时，会发现上一进程并没有停止，我们也没有任何方式让它停下。这些已经不需要的进程很影响破解的速度，使我们无法体验它飞快的感觉。

2。ＮＢＳＩ

NBSI是款老牌注入工具，似乎我们不应该再挑挑拣拣了。它在对MSSQL数据库的注入上已经趋近完美，但我最近却也发现了一个NBSI不能注入，啊D，WEB等也无能为力，但HDSI却可以注入的网址。它在un.org的新闻页面上，有兴趣的朋友可以去看看。

NBSI的其它功能也不错，譬如站点列表功能，虽然我只成功用过一次，但正是那次使我拿下了那个站点。还有命令行工具、后台猜解，提起它们的原因是当我们转向这些页面时，填入的网址并没有跟着跳转，这是个很令人头疼的问题，相信也是很多人弃NBSI去用其它工具的原因。