SELECT id FROM user WHERE u_name=‘Ann’ AND p_word=‘anything’OR ‘x’=‘x’;

    因为 ‘x’=‘x’条件总是真值，所以“p_word=‘anything’OR ‘x’=‘x’”子句也总是真值，这样黑客同样不需知道Ann的口令，就获得了和Ann一样的权限。

    这种SQL注入攻击可导致非法建立、读取、篡改或删除数据，完全入侵数据库系统或数据库周边系统。

    防止SQL注入攻击的方法是在编写网页程序时，对用户的输入进行有效性校验，检测用户有无输入单引号(’)、双重破折号(—)、井号(#)和分号(；)等特殊字符，如果有，则视为无效输入 ......