Select * from user where user_id = '*userId*' and access_level = 0 or access_level = 1;

如果查询返回任何行，则它们被允许进入系统。围绕着“access_level = 0或access_level = 1”的括号将实现他们的意图。相反，只要有access_level为1的用户，任何人都可以进入。

在密码数据输入元素中没有控制逻辑操作符(OR)。通过使用它，每个人都可以很容易地通过其他的条件。对于，select查询将像这样:

select *
from TheTable
where UserName=@id And Password=@pass OR 1=1

去年，我发现我所在的公司用来处理支票/报表的网站充满了SQL注入漏洞。

不用说，他们很快就把洞补好了。

当我使用Colloquy (IRC)时，密码字段会弹出，但我仍然在主屏幕上集中，所以当我按下enter键时，全世界都知道我的密码，而我却没有意识到。

我认为超级用户访问的空白用户名/密码字段是迄今为止最糟糕的。但我亲眼看到的是

if (password.equals(requestpassword) || username.equals(requestusername))
{
    login = true;
}

太糟糕了，一个操作员就有这么大的不同。

我的第一份工作是在IT安全部门实习。我的任务是自动化对不同用户帐户的网络和应用程序访问，因为每个用户都转移到不同的部门/角色。也就是说，我可以使用一些基本的工具，比如查询分析器，以及一些数据库，但其他的就不多了。该公司通常会把所有东西都锁起来，所以总是有重置和授予的权限。

在这份工作中，所有的兼职人员都被要求使用一个小的VB胖客户端应用程序来跟踪工作时间，在一周结束时，一个按钮可以显示登录的用户一周工作了多少小时，以及他们这一周将获得多少报酬。

出于纯粹的无聊，有一天我偶然发现了小时间跟踪应用程序驻留在网络上的目录，并注意到在该目录中除了EXE之外只有一个其他文件，一个settings.ini文件。

果不其然，打开文件后，连接字符串在明亮的闪光纯文本;用户、密码、数据库名、服务器等等。

在这一点上，我认为这不是真正的信息，但在启动查询分析器，并进入ini设置后，我进入了主生产数据库，其中有任何人都需要给自己加薪的每一块数据。对引导的完全读写权限。

最后，我向老板展示了一份关于谁赚多少钱的问题，他平静地让我把它转发给人力资源总监。

让我告诉你，在我的生活中，我从来没有收到过这么快的，亲自回复任何其他邮件的邮件。

第二天我开始工作，时间跟踪应用程序有一个更新，唉，没有更多的settings.ini文件。