第二节、判断能否进行SQL注入

　　看完第一节，有一些人会觉得：我也是经常这样测试能否注入的，这不是很简单吗？

　　其实，这并不是最好的方法，为什么呢？

　　首先，不一定每台服务器的IIS都返回具体错误提示给客户端，如果程序中加了cint(参数)之类语句的话，SQL注入是不会成功的，但服务器同样会报错，具体提示信息为处理 URL 时服务器上出错。请和系统管理员联络。

　　其次，部分对SQL注入有一点了解的程序员，认为只要把单引号过滤掉就安全了，这种情况不为少数，如果你用单引号测试，是测不到注入点的