即使在所有"单引号"和"破折号字符"都被删除了用户的输入之后,任何人都可以在SQL注入时显示sql语句的示例吗?
SELECT MyRecord FROM MyTable
WHERE MyEmail='susan@site.com' AND MyPassword='foo'
(此处不涉及INT.)
每个人似乎都说"是的,我能做到"......但当他们被迫举一个例子时......没有一个人能够表现出来.
(您可以使用任何sql引擎的任何版本,无论是新版本还是旧版本:SQL Server,MySql,SqlLite,PostgreSQL,Oracle以及其他无数版本.)
我正在尝试用Sqlite对VarChar字段进行排序.
该字段可以包含数字或数字+字母,但我需要按数字顺序排序,如下所示:
1 1a 1b 5 5x 5y 10 10d 10e 10g1 11 11a 11b 100c 100f
有任何想法吗?我已经能够做到这一点......它很接近(但并不完全)我需要的东西:
用'00000'填充字段的开头,然后对前五个字母进行排序