日期:2014-05-17  浏览次数:20877 次

inser into SQL注入时,这样的语句可以注入吗?
inser into SQL注入时,这样的语句可以注入吗?
Variable='123'
sql="insert into [table]([page]) values ('" & Variable & "')"

------解决方案--------------------
sql="insert into [table]([page]) values ('" & Variable & "')"
你这个sql是
insert into [table]([page]) values ('Variable'); 


比如说;你在Variable 前加个 '); 后面加个 --
sql就变成
insert into [table]([page]) values (''); Variable 
--');注释掉了 
Variable 就可以再写一个sql
------解决方案--------------------
Variable='123); delete from [table] --';
看这样会不会把你表中的数据都删掉。