0
我想通過嘗試刪除一個表(用戶)並且它不工作來測試對我的網站的SQL注入。測試SQL注入/丟棄表不工作
我的SQL字符串語法:
String sql = "select * from users where username='" + username + "' and password='" + password + "';";
我把在用戶名字段jack和 test'; DROP TABLE users; --在密碼字段,並得到如下SQL字符串:
select * from users where username='jack' and password='test'; DROP TABLE users; --'; 然後我執行:
Statement st = conn.createStatement();
ResultSet rs = st.executeQuery(sql);
但它不工作,任何想法爲什麼?
這並不是說我有什麼經驗的黑客/欺騙數據庫,但什麼是' - ''在查詢到底在幹什麼? iniection看起來很好,直到「DROP TABLE」。 –
@TimBiegeleisen這是SQL的註釋操作符,我認爲他/她使用了它,所以最後的字符不會產生語法錯誤。順便說一下,不工作,它會產生錯誤,還是隻是執行,但不刪除表? – encryptoferia
@TimBiegeleisen我很抱歉。我再次檢查,看起來不錯,Rlaw你的意思是沒有工作?也許你錯過了錯誤? –