摘要： SQL 脚本注入式攻击的剖析当您在应用程序中接受未筛选的用户输入值（见上文）时，恶意用户可以使用转义符来添加他们自己的命令。试考虑这样一个 SQL 查询，该查询希望用户的输入是一个社会保障号码，比如 172-32-xxxx，最后查询形式如下所示：SELECT au_lname, au_fname FROM authors WHERE au_id = '172-32-xxxx' 恶意用户可以将以下文字输入您的应用程序输入字段（例如，文本框控件）中。' ; INSERT INTO jobs (job_desc, min_lvl, max_lvl) VALUES (' 阅读全文