string SqlStr = "select * from customers where CompanyName Like '%" + textBox1.Text + "%'";
这样的字符串连接可能会带来灾难性的结果,比如用户在文本框中输入:
a' or 1=1 --
那么SqlStr的内容就是:
select * from customers where CompanyName like '%a' or 1=1 --%'
这样,整个customers数据表的所有数据就会被全部检索出来,因为1=1永远true,而且最后的百分号和单引号被短横杠注释掉了。
如果用户在文本框中输入:
a' EXEC sp_addlogin 'John' ,'123' EXEC sp_addsrvrolemember 'John','sysadmin' --
那么SqlStr的内容就是:
select * from customers where CompanyName like '%a' EXEC sp_addlogin 'John','123' EXEC sp_addsrvrolemember 'John','sysadmin' --
这个语句是在后台数据库中增加一个用户John,密码123,而且是一个sysadmin账号,相当于sa的权限。
如果用户在文本框中输入:
a' EXEC xp_cmdShell('format c:/y') --
运行之后好像是格式化C盘!
