只是出于好奇:
我知道由于担心SQL注入,不应将值传递给查询。
我有一个与以下查询类似的查询。在SQL注入方面该如何使用?
select * from users u inner join departments d on u.id = d.user_id
where u.id = '#{name}'
因此所进行的查询是
select * from users u inner join departments d on u.id = d.user_id
where u.id = 'An'
该查询只是一个示例,而不是可行的查询。
答案 0 :(得分:3)
对name使用以下内容:
' UNION SELECT username, password /* more fields */ FROM secrettable WHERE '' = '