按照百度说法，SQL注入是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。

利用SQL注入，攻击者可远程利用SQL注入漏洞，窃取用户数据库数据，包括用户名、密码、登陆凭证等，甚至可以控制服务器的权限，对于网站进行挂码。下面介绍几种SQL注入工具，可以检测网站是否存在这方面的漏洞。

1. Havij

Havij是一款自动化的SQL注入工具，它能够帮助渗透测试人员发现和利用Web应用程序的SQL注入漏洞。Havij不仅能够自动挖掘可利用的SQL 查询，还能够识别后台数据库类型、检索数据的用户名和密码hash、转储表和列、从数据库中提取数据，甚至访问底层文件系统和执行系统命令，当然前提是有 一个可利用的SQL注入漏洞。

2. Domain SQL Injector

Domain SQL Injector是一款SQL注入扫描工具，与以往工具不同的是它是扫描名同一服务器上的所有主机是否存在SQL注入漏洞，并将扫描结果以日志记录的方式保存下来。

3. Vega

Vega能够帮助你验证SQL注入、跨站脚本(XSS)、敏感信息泄露和其它一些安全漏洞。 Vega使用Java编写，有GUI，可以在Linux、OS X和windows下运行。

4. Hexjector

Hexjector是一个跨平台的PHP脚本程序，它可以自动扫描网站的SQL注入漏洞。

其他工具，后续再进行补充。

http://www.58maisui.com/2016/07/01/a-371/