例如有这么一张表：

有时我们需要根据名字进行查询；
有时我们需要根据年龄进行查询；
有时又需要根据名字和年龄进行查询；

Subject:
dvbbs8.2(access/sql)version login.asp remote sql injection  -  (dvbbs8.2 access/sql版 login.asp文件远程SQL注入漏洞)

danger level(危险级别):
critical/High(危险/高)

info:
dvbbs is prone to multiple sql injection security flaw

wsi是注入工具，支持自定义数据包，可自定义提交数据包格式，程序自动替换“***”为注入的SQL语句，只支持Access
hwis.exe为扫描工具，扫描一个网站的注入点，深度扫描网站两层，可扫描get,post,cookie注入点

SQL注入流行很久了，我们找漏洞注入目的无非是想得到数据库内的东西，比如用户名密码等。（当然mssql数据库还可以借此获得权限）。如果我们不用注入就可以得到整个数据库，不是更好吗？于是暴库成了一个比注入更简单的的入侵手段。

　　有关暴库的方法，高手们常在入侵文章中提高，但多是一笔带过，有些就某一个方法谈的，也多是就方法进行探讨。最近有一篇《再谈%5c暴库的利用》文章，算是对暴库进行了一些总结，因而在网是流传很广。但仍没有谈及原理，而且结论也只是就于经验，似是而非，于是决定来谈谈暴库的原理与规律。

来源：vbs小铺<script language="javascript">　

//用 JavaScript 写服务器端连接数据库的代码示例
var conn = new ActiveXObject("ADODB.Connection");
conn.Open("DBQ=c:\a.mdb;DRIVER={Microsoft Acc