inser into SQL注入时,这样的语句可以注入吗?
inser into SQL注入时,这样的语句可以注入吗?
Variable='123'
sql="insert into [table]() values ('" & Variable & "')"
[解决办法]
sql="insert into [table]() values ('" & Variable & "')"
你这个sql是
insert into [table]() values ('Variable');
比如说;你在Variable 前加个 '); 后面加个 --
sql就变成
insert into [table]() values (''); Variable
--');注释掉了
Variable 就可以再写一个sql
[解决办法]
Variable='123); delete from [table] --';
看这样会不会把你表中的数据都删掉。
