最近看完了《The Pragmatic Programmer: 20th Anniversary Edition, 2nd Edition: Your Journey to Mastery》,在第7章:While You Are Coding的footnotes中,提到了一幅漫画:
这不仅用简单的方式说清楚了什么是SQL Injection,而且这个网站还提供各种编程语言下的SQL Injection示例。
其实如果你熟悉Shell脚本,我也一个更简单的例子来演示injection。虽然不是SQL Injection,而是Shell脚本注入,但意思是一样的。
bash
$ ls *.out
a.out
$ cat a.sh
eval "ls -l $*"
$ ./a.sh "*.c;rm *.out"
-rw-r--r-- 1 oracle oinstall 67 Mar 1 05:29 a.c
$ ls *.out
ls: cannot access '*.out': No such file or directory