我覺(jué)得你應(yīng)該先了解下什么是sql注入，所謂SQL注入式攻擊，就是攻擊者把SQL命令插入到Web表單的輸入域或頁(yè)面請(qǐng)求的查詢字符串，欺騙服務(wù)器執(zhí)行惡意的SQL命令。在某些表單中，用戶輸入的內(nèi)容直接用來(lái)構(gòu)造（或者影響）動(dòng)態(tài)SQL命令，或作為存儲(chǔ)過(guò)程的輸入?yún)?shù)，這類表單特別容易受到SQL注入式攻擊。 你可以了解下這個(gè)http://www.cnblogs.com/heyuquan/archive/...，sql注入是一種安全隱患，實(shí)際上跟是什么數(shù)據(jù)庫(kù)沒(méi)有直接關(guān)系，是程序過(guò)濾不完全導(dǎo)致的，簡(jiǎn)單的注入就是用戶輸入了特殊字符，導(dǎo)致我們?cè)诖a中的sql語(yǔ)句變了查詢的結(jié)果也不是我們想要的！

舉個(gè)栗子：你數(shù)據(jù)庫(kù)后臺(tái)腳本寫(xiě)的是delete from table where name=A ;A 是變量。那么這個(gè)地方當(dāng)參數(shù)A的值是 z or columnName=3 .這樣會(huì)有什么后果呢？腳本拼接起來(lái)就成了 delete from table where name=z or columnName=3。除了刪除name=z的數(shù)據(jù)還會(huì)刪除columnName=3的所有數(shù)據(jù)。這樣講應(yīng)該就明白了吧。

其實(shí)吧，我們現(xiàn)在寫(xiě)sql直接都是預(yù)編譯sql，也就是說(shuō)你想注入。。?？赡苁菦](méi)戲了

直接給你舉兩個(gè)例子吧！【】里面的代表實(shí)際sql位置傳入的參數(shù)

非預(yù)編譯

我們的代碼：select username,password from user where username=？

然后你傳入?yún)?shù)【123 or username is not null】

數(shù)據(jù)庫(kù)帶著你的參數(shù)傳進(jìn)去然后編譯這條sql語(yǔ)句

然后編譯結(jié)果就是：select username,password from user where username='123' or username is not null

最終執(zhí)行結(jié)果就是 所有的用戶都查出來(lái)了

接下來(lái)看看預(yù)編譯

我們的代碼：select username,password from user where username=？

然后你傳入?yún)?shù)【123 or username is not null】

然后數(shù)據(jù)庫(kù)編譯這條sql語(yǔ)句 select username,password from user where username=？

然后帶著你的參數(shù)放在username位置 發(fā)現(xiàn)是字符串，然后加上單引號(hào)‘’

然后執(zhí)行的sql就是：select username,password from user where username=‘123 or username is not null’

最終執(zhí)行結(jié)果就是沒(méi)有username=‘123 or username is not null’ 的

所以，這填空題你咋填都不對(duì)

（看不懂的仔細(xì)看看，有問(wèn)題可以聯(lián)系qq670706603）

我記得我上學(xué)的時(shí)候老師教過(guò)，簡(jiǎn)單的表單很容易被sql注入攻擊。現(xiàn)在很少見(jiàn)了。兄弟，別搞注入攻擊。學(xué)習(xí)是可以的，用注入攻擊別人的賬號(hào)是犯法的。例如盜別人的賬號(hào)

留名留名!!!,同樣的問(wèn)題,看看咋結(jié)局!!!

快來(lái)解決啦！快來(lái)！快來(lái)！ 快來(lái) 快來(lái)

剛學(xué)習(xí)程序,過(guò)來(lái)學(xué)習(xí)學(xué)習(xí)!!!!...