111,121
社区成员
发帖
与我相关
我的任务
分享关于sql参数
comm = new SqlCommand("select username,pwd from userdata where username=@username and pwd=@pwd", conn);
comm.Parameters.AddWithValue("username", "ff' or '1'='1");
comm.Parameters.AddWithValue("pwd", pwd);
这个ff' or '1'='1 那变成sql语句时@username这个变量是什么样子的?
我是这样理解的:
在sql中
@username='ff'' or ''1''=''1' 变成这样子了 ? 这样ff' or '1'='1是作为一个字符串赋值给字段了?
自己想的不知对不对,有知道的朋友指点下 好像有点类似于str.Replace("'","''"),是不是这样?
comm.Parameters.AddWithValue("username", "ff' or '1'='1");
comm.Parameters.AddWithValue("pwd", pwd);
这个ff' or '1'='1 那变成sql语句时@username这个变量是什么样子的?
我是这样理解的:
在sql中
@username='ff'' or ''1''=''1' 变成这样子了 ? 这样ff' or '1'='1是作为一个字符串赋值给字段了?
自己想的不知对不对,有知道的朋友指点下 好像有点类似于str.Replace("'","''"),是不是这样?
...全文
请发表友善的回复…
发表回复
wuyi8808 2009-11-28
- 打赏
- 举报
[Quote=引用楼主 yg10hxj 的回复:]
这样ff' or '1'='1是作为一个字符串赋值给字段了?
好像有点类似于str.Replace("'","''"),是不是这样?
[/Quote]
效果是这样的。
这样ff' or '1'='1是作为一个字符串赋值给字段了?
好像有点类似于str.Replace("'","''"),是不是这样?
[/Quote]
效果是这样的。
flyfly2008 2009-11-28
- 打赏
- 举报
条件 ? 'ff': '1'='1
