我对SQL查询的Java代码如何注入SQL命令在Java
String sqlSt="INSERT INTO users(id,name,place) values ("+null+",'"+request.getParameter("name")+"','"+request.getParameter("place")+"');";
我已经尝试了 name= a'); DROP TABLE users; --
以及 place =a'); DROP TABLE users; --
但它返回一个Ecxeption如下所示
com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException:您的SQL语法错误;检查与您的MySQL服务器版本相对应的手册,以找到在DROP TABLE用户附近使用的正确语法; - ','chennai')'在第1行
注意:当我在mysql命令行中尝试相同时。有效!!!!我不知道在JDBC
看到http://stackoverflow.com/questions/10797794/multiple-queries-executed-in-java-in-single-statement –
注意,与+的问题查询也可以来自一些名为“L'albatros”的报价,例如 –
为什么不试试name = a和place = a');掉桌用户; - –