SQL注入的原理你要先了解,因?yàn)橐郧癝QL語(yǔ)句是用字符串拼接來(lái)組的.所以就有人想到如果我輸入一個(gè)單引號(hào)來(lái)閉合原本程序里的單引號(hào)? 然后在自己加些條件呢.
加入原本代碼
String SQLStr = "select * from t_users where username='"+ txtusername.Text +"'";
如果你輸入'or 1=1 -- 我們的SQLStr會(huì)變成什么呢
select * from t_users where username = '' or 1=1 --'
--后面屬于sql的注釋? 所以都忽略了 即使后面有其他條件也忽略了
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號(hào)聯(lián)系: 360901061
您的支持是博主寫作最大的動(dòng)力,如果您喜歡我的文章,感覺(jué)我的文章對(duì)您有幫助,請(qǐng)用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長(zhǎng)非常感激您!手機(jī)微信長(zhǎng)按不能支付解決辦法:請(qǐng)將微信支付二維碼保存到相冊(cè),切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對(duì)您有幫助就好】元
