4、SQL注入攻击的简单示例:
这里我们举一个比较常见的例子来简要说明一下sql注入的原理。假如我们有一个users表,里
面有两个字段username和password。在我们的java代码中我们初学者都习惯用sql拼接的方式进行
用户验证。比如:"select id from users where username = '"+username +"' and password = '" +
password +"'" 这里的username和password都是我们存取从web表单获得的数据。下面我们来看一
下一种简单的注入,如果我们在表单中username的输入框中输入' or 1=1-- ,password的表单中
随便输入一些东西,假如这里输入123.此时我们所要执行的sql语句就变成了select id from users
where username = '' or 1=1-- and password = '123',我们来看一下这个sql,因为1=1是true,
后面 and password = '123'被注释掉了。所以这里完全跳过了sql验证。