select * from table1 where username=''or''=''
你在查询分析器中执行一下 结果会把全部数据显示出来.
因为''or''='' 返回的是true.
1建议你前台过滤掉特殊字符
2如果你用的是jsp开发.sql的变量应该用占位符,不能直接在sql中使用变量
3避免url的参数传递...
很多~ 其实最根本的就是特殊字符过滤.
你在查询分析器中执行一下 结果会把全部数据显示出来.
因为''or''='' 返回的是true.
1建议你前台过滤掉特殊字符
2如果你用的是jsp开发.sql的变量应该用占位符,不能直接在sql中使用变量
3避免url的参数传递...
很多~ 其实最根本的就是特殊字符过滤.
可采用SqlParameter解决。