SQL注入的原理你要先了解,因為以前SQL語句是用字符串拼接來組的.所以就有人想到如果我輸入一個單引號來閉合原本程序里的單引號? 然后在自己加些條件呢.
加入原本代碼
String SQLStr = "select * from t_users where username='"+ txtusername.Text +"'";
如果你輸入'or 1=1 -- 我們的SQLStr會變成什么呢
select * from t_users where username = '' or 1=1 --'
--后面屬于sql的注釋? 所以都忽略了 即使后面有其他條件也忽略了
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
