SQL注入式攻擊的主要形式有兩種。

1、直接注入式攻擊法

直接將代碼插入到與SQL命令串聯在一起并使得其以執行的用戶輸入變量。由于其直接與SQL語句捆綁，故也被稱為直接注入式攻擊法。

2、間接攻擊方法

它將惡意代碼注入要在表中存儲或者作為原數據存儲的字符串。在存儲的字符串中會連接到一個動態的SQL命令中，以執行一些惡意的SQL代碼。注入過程的工作方式是提前終止文本字符串，然后追加一個新的命令。如以直接注入式攻擊為例。就是在用戶輸入變量的時候，先用一個分號結束當前的語句。然后再插入一個惡意SQL語句即可。由于插入的命令可能在執行前追加其他字符串，因此攻擊者常常用注釋標記“—”來終止注入的字符串。執行時，系統會認為此后語句位注釋，故后續的文本將被忽略，不背編譯與執行。

可以，或者說sql注入主要是分析請求，通過傳參來做的，一些防范意識不強的后端，可能沒有做參數關鍵詞驗證，甚至沒有參數化直接拼接sql語句的，就可以通過加注釋，猜表名等方法注入語句

asp是一種服務器端腳本編寫環境，可以用來創建和運行動態網頁或Web應用程序。

asp可以包含HTML標記、普通文本、腳本命令以及COM組件等。

利用asp可以向網頁中添加交互式內容（如在線表單），也可以創建使用HTML網頁作為用戶界面的web應用程序。

asp特點:

⑴利用asp可以實現突破靜態網頁的一些功能限制，實現動態網頁技術；

⑵asp文件是包含在HTML代碼所組成的文件中的，易于修改和測試；

⑶服務器上的asp解釋程序會在服務器端執行asp程序，并將結果以HTML格式傳送到客戶端瀏覽器上，因此使用各種瀏覽器都可以正常瀏覽asp所產生的網頁；

⑷asp提供了一些內置對象，使用這些對象可以使服務器端腳本功能更強。

例如可以從web瀏覽器中獲取用戶通過HTML表單提交的信息，并在腳本中對這些信息進行處理，然后向web瀏覽器發送信息；

⑸asp可以使用服務器端ActiveX組件來執行各種各樣的任務，例如存取數據庫、發送Email或訪問文件系統等；

⑹由于服務器是將asp程序執行的結果以HTML格式傳回客戶端瀏覽器，因此使用者不會看到asp所編寫的原始程序代碼，可防止asp程序代碼被竊??；

⑺ 方便連接ACCESS與SQL數據庫；

⑻開發需要有豐富的經驗，否則會留出漏洞，讓駭客利用進行注入攻擊。