我有有一个像SQL注入指南在Java(或任何其他语言)
'select * from MyTable where
Column1='+request.getParameter('q'),
这是从
java.sql.Statement中执行
查询中的JSP代码。现在,只要我们可以通过使用
请求参数追加查询,我的目标是将查询更改为类似:因为原来的选择查询通过java.sql.Statement中执行
Select * from MyTable where Column1 = a; Delete from MyTable;
,
我们该如何做这样的sql注入?如果问题不明确,请亲切点
评论,我会尽力提供进一步的解释。
你有没有试着用搜索引擎的 'SQL注入'? – tdammers 2012-08-17 06:51:55
[SQL注入](http://xkcd.com/327/) – 2012-08-17 06:53:53
请参阅:http://stackoverflow.com/questions/1582161/how-does-a-preparedstatement-avoid-or-prevent-sql-injection或http://stackoverflow.com/questions/1812891/java-escape-string-to-prevent-sql-injection – MicSim 2012-08-17 06:59:04