用户名:Blangen' or 1 = 1; drop database 数据库名 --(单引号结束前面 和 --注释后面)
密码:aabbcc
生成的SQL语句是:
select * from 用户表 where Username = 'Blangen' or 1 = 1; drop database 数据库名 --' and Password = 'aabbcc'
解决办法:ADO.NET使用带参数的SQL语句(实际上就是存储过程)
用户名:Blangen' or 1 = 1; drop database 数据库名 --(单引号结束前面 和 --注释后面)
密码:aabbcc
生成的SQL语句是:
select * from 用户表 where Username = 'Blangen' or 1 = 1; drop database 数据库名 --' and Password = 'aabbcc'
解决办法:ADO.NET使用带参数的SQL语句(实际上就是存储过程)