将原数据库的 ‘构造命令发送给数据库’
// String sqlStr = "select * from employee where id=@id and password=@pwd";
修改为 :
String sqlStr = "select * from employee where id='" + this.textBox1.Text.Trim() + "' and password='" + this.textBox2.Text.Trim() + "'";
SqlCommand cmd = new SqlCommand(sqlStr, sqlConn);
通过字符拼接后
在主页面随机编写一个账户,在密码栏中输入aaa' or '1'='1即可登录管理员系统
进入管理员系统
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。
