什么是SQL注入(c#)?

SQL注入的原理你要先了解,因为以前SQL语句是用字符串拼接来组的.所以就有人想到如果我输入一个单引号来闭合原本程序里的单引号  然后在自己加些条件呢.

加入原本代码
String SQLStr = "select * from t_users where username='"+ txtusername.Text +"'";

如果你输入'or 1=1 -- 我们的SQLStr会变成什么呢

select * from t_users where username = '' or 1=1 --'
--后面属于sql的注释  所以都忽略了 即使后面有其他条件也忽略了

posted @ 2013-06-04 15:58  Seasons1987  阅读(428)  评论(0编辑  收藏  举报