分类: Mysql/postgreSQL
2011-05-16 11:04:44
INSERT INTO comments VALUES('This is a great questbook');drop table UEERS;);
数据库服务器将以上代码当作三个不同的命令:
是的,服务器可能会对第三行的注入代码语法报错。由于假设用户留言不会自己封闭SQL语句,因此用户添加了“);”,正如我们在注入攻击例子所介绍的。但是在数据库服务器遇到第三个命令并抛出语法错误之前,它将执行前两个命令。在服务器遇到这个错误命令的时候,为时已晚。Users表已经被删除,应用程序中要求用户登录的部分将无法正常工作。
