2016-06-11 90 views
-2
sql= "SELECT * FROM BOOK WHERE pubName = '" & myPubName & "'" 

myPubName已被封裝。這段代碼是否容易出現sql注入攻擊?

+1

你的問題還不清楚。請閱讀指南發佈問題並提供更多詳細信息以獲得更好的答案。 – vivek

+4

YES,SI,VI,TAK,JA –

+2

將hi'或1 = 1 - 代替myPubName並查看結果。你會得到你的答案。 – vivek

回答

2

是的。如果您將「myPubName」變量作爲用戶輸入並且沒有正確檢查。

要注入SQL需要有人這樣寫爲「myPubName」變量「‘sometext’或1 = 1」

的值,那麼查詢將看起來像

SELECT * FROM本書,pubName ='sometext'或1 = 1

這基本上會返回書籍表中的所有行。

相關問題