字元串參數:一定要將單引號替換成2個單引號,這點非常重要 正常方式:SELECT * FROM 客戶信息 WHERE 客戶編號='001' 註入方式:SELECT * FROM客戶信息WHERE客戶編號='001'; UPDATE 客戶信息 SET 客戶編號 = NULL--' 結果:你的客戶信息將 ...
字元串參數:一定要將單引號替換成2個單引號,這點非常重要
正常方式:SELECT * FROM 客戶信息 WHERE 客戶編號='001'
註入方式:SELECT * FROM客戶信息WHERE客戶編號='001'; UPDATE 客戶信息 SET 客戶編號 = NULL--'
結果:你的客戶信息將全部化為烏有,或許還有更加凄慘的故事
數值參數:一定要檢測參數是否是數字型
正常方式:UPDATE 賬戶信息 SET 賬戶餘額=1000 WHERE 客戶編號='001'
註入方式:UPDATE 賬戶信息 SET 賬戶餘額=1000; FROM DELETE賬戶信息--; WHERE 客戶編號='001'
結果:賬戶信息裡面所有的數據,將全部清空,後果,你懂
更多細節,需各位用心防範,不要真的將論編程到跑路。
