我試圖從運行JS查詢其執行在SQL Server 這個查詢應該找到在數據庫用戶根據它的用戶名和密碼。如何更改「與」
var str = "SELECT * FROM Users where (username = " + params.user + ") and (password = " + params.password + ")";
哪些PARAMS是參數發送由用戶在網址:
localhost:8888/login?user="abc"&password="123"
但是str的值是:
str = SELECT * FROM Users where (username = "abc") and (password = "123")
我TR ied使用string.replace替換「with」,但是當我使用「而不是」打印str時,它使用「。
有什麼建議嗎?也許我不是第一個有這個問題...
這是一個sql注入的邀請,不是嗎? – 2014-09-29 09:39:34
也沒有密碼哈希!我真的希望這不是在生產服務器上... – Novocaine 2014-09-29 09:45:57
我認爲這是一個練習傢伙... – 2014-09-29 09:47:08