即使到目前为止,仍有一些人连基本的恶义SQL语法都不知道. String sql = "select * from tb_name where name= ‘"+varname+"‘ and passwd=‘"+varpasswd+"‘"; 如果我们把[‘ or ‘1‘ = ‘1]作为varpasswd传入进来.用户名随意,看看会成为什么?
select * from tb_name = ‘随意‘ and passwd = ‘‘ or ‘1‘ = ‘1‘; 因为‘1‘=‘1‘肯定成立,所以可以任何通过验证.更有甚者: 把[‘;drop table tb_name;]作为varpasswd传入进来,则: select * from tb_name = ‘随意‘ and passwd = ‘‘;drop table tb_name;有些数据库是不会让你成功的,但也有很多数据库就可以使这些语句得到执行.