Hacker lấy được bằng cách nào ? Nếu exploit mấy bug sql j j đấy thì lúc này cần tới sữa fristy để cho trí tưởng tượng bay cao ! Đoán đường link của nó ! 

Vậy tức là nếu website được thiết kế không cho login_admin từ Front-End hoặc nếu có cũng chỉ login các user thường thôi thì có thể hoàn toàn yên tâm với các lỗi SQL INJECTION phải không ạ??? 

Hay hỏi cách khác: SQL INJECTION chỉ có tác dụng duy nhất là để lấy account hoặc để login_admin mà không cần account admin phải không ạ???
 

Đã dính Sql thì nên lo sửa lại, chứ mấy cái đường dẫn đó sao qua mặt được, chỉ đơn giản dùng tool như Acunetix thì 90% là lộ link admin luôn (. 10% còn lại thì lại ko dính Sql Inj. 

10% còn lại thì lại ko dính Sql Inj 

Trường hợp nữa là tạo 1 trang local truy vấn với tài khoản Admin vừa chôm được.  

Hacker lấy được bằng cách nào ? Nếu exploit mấy bug sql j j đấy thì lúc này cần tới sữa fristy để cho trí tưởng tượng bay cao ! Đoán đường link của nó ! 

Mình ko rành SQL injection lắm, nhưng hay làm cách này để tìm link admin
Thứ 1: Nếu website có phần feedback, hay contact gì đó đến lão admin, để mấy lão admin có thể đọc sau back-end:
VD:
http://site.com/link_đến_admin_blahbalh/read_feedback.asp
thì trong lúc gởi feedback, mình gởi một cái link dạng như
http://hacker.net/news.php <-- admin ơi, thằng này nó nói xấu website mình
trong đó http://hacker.net/news.php thằng hacker thiết kế để chôm cái HTTP REFERER , các bác hiểu rồi chứ.
 

Thứ 2: Lợi dung một số tricks độc để tìm ra link chính xác của thằng admin, ví dụ như việc lợi dụng mod_status của apache
http://www.apache.org/server-status