《表1:电子病历系统测试用例的设计》
构造恶意的密码字符串1’or‘1’=’1,则SQL命令为select*from UserInfo where Name=’admin’and Password=‘1’or‘1’=’1’。此时SQL语句的条件判断一定为真,就可以冒充“admin”用户登录系统,这就是SQL注入攻击。防范SQL注入漏洞攻击的方法是,不使用SQL语句拼接,而是通过SqlParameters参数来查询:
图表编号 | XD00151309000 严禁用于非法目的 |
---|---|
绘制时间 | 2020.05.15 |
作者 | 张乐吟 |
绘制单位 | 广东食品药品职业学院 |
更多格式 | 高清、无水印(增值服务) |