正确答案
利用sql语言漏洞获得合法身份登陆系统。如身份验证的程序设计成:
SqlCommandcom=newSqlCommand("Select*fromuserswhereusername=’"+t_name.text+"’andpwd=’"+t_pwd.text+"’");
objectobj=com.ExcuteScale();
if(obj!=null)
{
//通过验证
}
这段代码容易被sql注入。如用户在t_name中随便输入,在t_pwd中输入1’and1=’1就可以进入系统了。