是不是程序中有的语句出现了直接使用用户输入数据的情况。
例如,
如果你的语句是
select * from table where name like '%用户输入%'
那么我就可以写成
kkkk' exec sp_password null,'NewPassword','sa' --
这样你执行的时候就是
select * from table where name like '%kkkk' exec sp_password null,'NewPassword','sa' --%'
所以密码给改了。