它是这样工作的: 假设管理员正在查找学生的记录

Robert'); DROP TABLE STUDENTS; --

由于admin帐户拥有很高的权限，因此可以从该帐户中删除表。

从请求中检索用户名的代码是

现在查询是这样的(搜索student表)

String query="Select * from student where username='"+student_name+"'";

statement.executeQuery(query); //Rest of the code follows

生成的查询变成

Select * from student where username='Robert'); DROP TABLE STUDENTS; --

由于用户输入没有被净化，上面的查询被操作成两个部分

Select * from student where username='Robert'); 

DROP TABLE STUDENTS; --

双破折号(——)将注释掉查询的其余部分。

这是很危险的，因为如果存在密码验证，它会使密码验证无效

第一个会进行正常的搜索。

如果帐户有足够的权限，第二个将删除表student(通常学校管理帐户将运行这样的查询，并将具有上面讨论的权限)。

在本例中，'不是注释字符。它用于分隔字符串字面量。漫画艺术家的想法是，学校在某个地方有动态sql，看起来像这样:

$sql = "INSERT INTO `Students` (FirstName, LastName) VALUES ('" . $fname . "', '" . $lname . "')";

现在'字符在程序员期望它之前结束了字符串字面量。结合;字符来结束语句，攻击者现在可以添加(注入)任何他们想要的SQL。末尾的——注释是为了确保原始语句中任何剩余的sql都不会阻止在服务器上编译查询。

FWIW，我还认为漫画中有一个重要的细节是错误的:如果你像漫画中建议的那样清理数据库输入，你仍然是错的。相反，您应该考虑隔离数据库输入，正确的方法是通过参数化查询/准备好的语句。

它是这样工作的: 假设管理员正在查找学生的记录

Robert'); DROP TABLE STUDENTS; --

由于admin帐户拥有很高的权限，因此可以从该帐户中删除表。

从请求中检索用户名的代码是

现在查询是这样的(搜索student表)

String query="Select * from student where username='"+student_name+"'";

statement.executeQuery(query); //Rest of the code follows

生成的查询变成

Select * from student where username='Robert'); DROP TABLE STUDENTS; --

由于用户输入没有被净化，上面的查询被操作成两个部分

Select * from student where username='Robert'); 

DROP TABLE STUDENTS; --

双破折号(——)将注释掉查询的其余部分。

这是很危险的，因为如果存在密码验证，它会使密码验证无效

第一个会进行正常的搜索。

如果帐户有足够的权限，第二个将删除表student(通常学校管理帐户将运行这样的查询，并将具有上面讨论的权限)。

假设名称用于变量$ name。然后运行这个查询:

INSERT INTO Students VALUES ( '$Name' )

该代码错误地将用户提供的任何内容作为变量。你希望SQL是:

插入学生价值观(“罗伯特表格”)

但聪明的用户可以提供他们想要的任何东西:

INSERT INTO Students VALUES ('Robert');DROP TABLE Students;——”)

你得到的是:

INSERT INTO Students VALUES ( 'Robert' );  DROP TABLE STUDENTS; --' )

——only注释该行的其余部分。

数据库的作者可能做了一个

sql = "SELECT * FROM STUDENTS WHERE (STUDENT_NAME = '" + student_name + "') AND other stuff";
execute(sql);

如果给出的是student_name，则使用名称“Robert”进行选择，然后删除表。“——”部分将给定查询的其余部分更改为注释。

SQL中的'字符用于字符串常量。在本例中，它用于结束字符串常量，而不是用于注释。