大侠酷裤马路

摘要： 最近发现我们公司的ASP.NET的代码有拼接SQL语句的习惯！这是非常危险的。以下我举例说明一下例子1：statement := "SELECT * FROM users WHERE name = '" + userName + "'; "将用户名变量(即username)设置为：a' or 't'='t，此时原始语句发生了变化：SELECT * FROM users WHERE name = 'a' OR 't'='t'; 如果这种代码被用于一个认证过程，那 阅读全文