SQL中的'字符用于字符串常量。在本例中，它用于结束字符串常量，而不是用于注释。

它是这样工作的: 假设管理员正在查找学生的记录

Robert'); DROP TABLE STUDENTS; --

由于admin帐户拥有很高的权限，因此可以从该帐户中删除表。

从请求中检索用户名的代码是

现在查询是这样的(搜索student表)

String query="Select * from student where username='"+student_name+"'";

statement.executeQuery(query); //Rest of the code follows

生成的查询变成

Select * from student where username='Robert'); DROP TABLE STUDENTS; --

由于用户输入没有被净化，上面的查询被操作成两个部分

Select * from student where username='Robert'); 

DROP TABLE STUDENTS; --

双破折号(——)将注释掉查询的其余部分。

这是很危险的，因为如果存在密码验证，它会使密码验证无效

第一个会进行正常的搜索。

如果帐户有足够的权限，第二个将删除表student(通常学校管理帐户将运行这样的查询，并将具有上面讨论的权限)。

数据库的作者可能做了一个

sql = "SELECT * FROM STUDENTS WHERE (STUDENT_NAME = '" + student_name + "') AND other stuff";
execute(sql);

如果给出的是student_name，则使用名称“Robert”进行选择，然后删除表。“——”部分将给定查询的其余部分更改为注释。

假设你天真地写了一个学生创建方法，像这样:

void createStudent(String name) {
    database.execute("INSERT INTO students (name) VALUES ('" + name + "')");
}

有人输入名字罗伯特’);降表学生;--

在数据库上运行的是这个查询:

INSERT INTO students (name) VALUES ('Robert'); DROP TABLE STUDENTS --')

分号结束插入命令并开始另一个;——注释掉了该行的其余部分。DROP TABLE命令被执行…

这就是为什么绑定参数是一个好东西。

不，'在SQL中不是注释，而是分隔符。

妈妈假设数据库程序员的请求是这样的:

INSERT INTO 'students' ('first_name', 'last_name') VALUES ('$firstName', '$lastName');

(例如)添加新的student，其中$xxx变量内容直接从HTML表单中取出，不检查格式也不转义特殊字符。

如果$firstName包含Robert');DROP TABLE student;——数据库程序将直接在DB上执行以下请求:

INSERT INTO 'students' ('first_name', 'last_name') VALUES ('Robert'); DROP TABLE students; --', 'XKCD');

ie。它会提前终止插入语句，执行黑客想要的任何恶意代码，然后注释掉可能存在的任何剩余代码。

嗯，我太慢了，我已经看到了8个答案在我之前的橙色带…:-)似乎是一个流行的话题。

SQL中的'字符用于字符串常量。在本例中，它用于结束字符串常量，而不是用于注释。