SQL注入

在进行登陆认证时，应该尽量避免在sql语句中使用构建字符串，如：

 //生成验证SQL语句
StringBuilder ValidateSQL = new StringBuilder();
ValidateSQL.Append("select * from " + TableName + " where OperatorName='" + OperatorName + "'and OperatorPassword='" + OperatorPassword + "'");

直接在sql语句中，使用OperatorName和OperatorPassword容易遭受sql注入，例如
 

例子
假设你有一个简单的登录功能，使用如下代码来验证用户身份：string query = "SELECT * FROM Users WHERE Username = '" + username + "' AND Password = '" + password + "'";
如果用户输入的 username 为 admin' --，输入的 password 为任意内容（例如 anything），查询字符串将变成：SELECT * FROM Users WHERE Username = 'admin' --' AND Password = 'anything'
由于 -- 是 SQL 中的注释符号，这个查询实际上变成了：SELECT * FROM Users WHERE Username = 'admin'
这意味着任何密码都将被忽略，攻击者可以直接登录为 admin 用户。

在第一段代码里，当我输入的用户名为 admin'-- 时，系统会将  ' 视作一个sql语句的变量，

然后后面的  --  会被转化为sql语句的一部分，-- 又是注释符号，所以会屏蔽后面的密码查询部分，

即任意密码都可以登陆系统。所以在做sql查询时，要注意防止sql注入