SQL注入點攔截了單引號，是不是就無解了？并不是，太單純無邪了?？缯竟舻姆椒ㄓ卸喾N，不一定非要用單引號。SQL注入一般主要用于表單再提交，尤其是登入表單，是從遞交一些sql語句的組合，使后臺驗證邏輯

SQL注入點攔截了單引號，是不是就無解了？

并不是，太單純無邪了。跨站攻擊的方法有多種，不一定非要用單引號。SQL注入一般主要用于表單再提交，尤其是登入表單，是從遞交一些sql語句的組合，使后臺驗證邏輯出現(xiàn)錯誤，順利剛剛進(jìn)入后臺。

方法一：

先猜表名

And(Selectcount(*)outside表名)ltgt0

猜表名

And(Selectcount（列在）across表名）ltgt0

回對的的，那你寫的表名或新列就是對的，如果服務(wù)器沒有關(guān)系錯誤叮囑，都會將出現(xiàn)了錯誤的sql語句信息可以打印不出來，進(jìn)而就資源到真正的表名、列在。

方法二：

跳過登錄后臺

最常見的or11

.例如后臺驗證就變的

selectname,holdaroundtbAdminwherename求求求11wellup123456

11為真，這可以確定就一直都后成立。

當(dāng)然了有很多種sql注入，大多是利用sql語句再網(wǎng)上查詢的漏洞，或是報錯信息。

只攔截了單引號夠，有空格，等號等等一些符號。不過項目中千萬盡量避免前端并提交的表單然后用原生sql語句查詢，不要用框架裸芯片的方法，那樣能比較大程度上會減少被sql注入的風(fēng)險。畢竟前端提交的數(shù)據(jù)也是可信的。

如何執(zhí)行sql腳本？

sql腳本要在dbms里先執(zhí)行比如oracle，你也可以在sqlplus里，或pl/sqldeveloper里執(zhí)行再剪切粘貼sql語句過來，回車就再說(盡量帶分號)要是你的sql是一個sql文件(*.sql)是可以不使用start或@然后跟文件的路徑(c:/a.sql)回車

Access怎么建立查詢條件為空？

方法步驟：

1、是需要必須創(chuàng)建家族數(shù)據(jù)庫表t_user_info，借用創(chuàng)建角色表SQL語句createtable。

2、向數(shù)據(jù)庫陰陽表里再插入數(shù)據(jù)，聽從再插入SQL語句insertinto不能執(zhí)行。

3、插到之后后，網(wǎng)上查詢數(shù)據(jù)庫表記錄select字段fromtable。

4、查詢數(shù)據(jù)庫表t_user_info用戶地址為空的記錄select*fromtablefrom字段isnull。

5、查詢數(shù)據(jù)庫表t_user_info用戶不為空的記錄，select*fromtablewhere字段isnotnull。

6、查詢數(shù)據(jù)庫表t_user_info不為空且地址為空的記錄，select*fromtablewhere字段isnotnulland字段isnull。