SQL中的'字符用于字符串常量。在本例中，它用于结束字符串常量，而不是用于注释。

');结束查询，不开始注释。然后它删除students表，并注释本该执行的其余查询。

SQL中的'字符用于字符串常量。在本例中，它用于结束字符串常量，而不是用于注释。

它是这样工作的: 假设管理员正在查找学生的记录

Robert'); DROP TABLE STUDENTS; --

由于admin帐户拥有很高的权限，因此可以从该帐户中删除表。

从请求中检索用户名的代码是

现在查询是这样的(搜索student表)

String query="Select * from student where username='"+student_name+"'";

statement.executeQuery(query); //Rest of the code follows

生成的查询变成

Select * from student where username='Robert'); DROP TABLE STUDENTS; --

由于用户输入没有被净化，上面的查询被操作成两个部分

Select * from student where username='Robert'); 

DROP TABLE STUDENTS; --

双破折号(——)将注释掉查询的其余部分。

这是很危险的，因为如果存在密码验证，它会使密码验证无效

第一个会进行正常的搜索。

如果帐户有足够的权限，第二个将删除表student(通常学校管理帐户将运行这样的查询，并将具有上面讨论的权限)。

单引号是字符串的开始和结束。分号是语句的结束。如果他们做这样的选择:

Select *
From Students
Where (Name = '<NameGetsInsertedHere>')

SQL将变成:

Select *
From Students
Where (Name = 'Robert'); DROP TABLE STUDENTS; --')
--             ^-------------------------------^

在某些系统上，select语句会先运行，然后是drop语句!信息是:不要嵌入值到你的SQL。而是使用参数!

在本例中，'不是注释字符。它用于分隔字符串字面量。漫画艺术家的想法是，学校在某个地方有动态sql，看起来像这样:

$sql = "INSERT INTO `Students` (FirstName, LastName) VALUES ('" . $fname . "', '" . $lname . "')";

现在'字符在程序员期望它之前结束了字符串字面量。结合;字符来结束语句，攻击者现在可以添加(注入)任何他们想要的SQL。末尾的——注释是为了确保原始语句中任何剩余的sql都不会阻止在服务器上编译查询。

FWIW，我还认为漫画中有一个重要的细节是错误的:如果你像漫画中建议的那样清理数据库输入，你仍然是错的。相反，您应该考虑隔离数据库输入，正确的方法是通过参数化查询/准备好的语句。