SQL注入攻击学习第1/3页

这就给了心怀不轨的学生一个机会，输入一些奇怪的查询字符串，拼接成具体的SQL语句，可以达到注入的目的。不仅可以获取数据库的重要信息，如果权限设置不当，甚至可以删除整个表。因此，SQL注入的脆弱性相当严重。之前找到刚学会写的网站的时候，也是靠拼接SQL语句吃饭的……示例为了更好的学习和理解SQL注入的方法，我做了一个示例网页，界面如下：。

点击下面的代码，注意第五行，我们使用的是拼接SQL语句：复制代码如下： private void log in(){ string uname=tbname . text；字符串pwd=tbPassword。文字；字符串sqlCmd='从[Users]中选择*其中UserName=' ' uname字符串sqlCmdRep=sqlCmd。替换('用户'，' XXX ')。替换(' UserName '，' XXX ')；lbSQL。Text=sqlCmdRep请尝试{ DataTable dt=DataSQLServer。GetDataTable(sqlCmd)；gvResult。DataSource=dtgvResult。DataBind()；if (dt。行数。计数==1 pwd==dt。行[0][“密码”]。ToString()) { lbRes。Text=dt。行[0][“用户名”]“登录成功！”；} else if(dt。行数。计数==0) { lbRes。Text=uname“不存在！”；} else { lbRes。文本=“登录失败！”；} } catch (Exception ex) { lbRes。Text='Error: ' ex。消息；}} 123阅读下一页的全文。