sql= "SELECT * FROM BOOK WHERE pubName = '" & myPubName & "'"
myPubName已经封装。
答案 0 :(得分:2)
是。如果你正在服用" myPubName"变量作为用户输入而不是正确检查。
要注入SQL,需要像这样写出" myPubName"变量"' sometext'或1 = 1"
然后查询看起来像
SELECT * FROM BOOK WHERE pubName =' sometext'或1 = 1
这将基本上返回书表中的所有行。