我了解 SQL 注入的概念,它们是什么,它们为什么不好以及如何通过参数化查询和中断查询等方法来防止它们,但是如果您在代码中仅使用直接查询字符串会发生什么情况没有用户输入的地方。
例如,如果您在用户登录时存储了一些关于用户的信息,并且它是自动完成的,并且用户没有意识到或做任何事情,也许是这样的;
UPDATE tblUser SET lastLogged = blahblah WHERE userID = blahblah2;
这会在开发人员的脑海中引起任何担忧的威胁吗?
我的主要猜测是,如果黑客闯入程序或网站,也许他可以将这些信息进一步用于其他攻击?查询/字符串容易混淆吗?
提前喝彩。
编辑:这纯粹是为了理论,所以尽量不要说“如果你要做一份工作,就好好做”之类的说法。