作者Devil

1.就是很單純的[隱碼攻擊],你可以試著將Aa’ OR TRUE OR’帶入整個SQL Command看看會組合成什麼樣子的句子,結果可以解讀為,它將會使WHERE的條件式為true
可以上網找找看[隱碼攻擊],[SQL Injection]的資料
他的原理是,許多網頁程式設計師,喜歡使用連接字串的方式來撰寫SQL Command
這樣就給了攻擊者一個機會,讓他們可以在網頁上的文字方塊內輸入SQL Command並且執行
所以,千萬不要使用連接字串的方式撰寫SQL Command,而採用Parameter帶入參數的方法
2.Drop是屬於SQL DDL,作用在於刪除,分號是在於它要分段SQL Command,所以,分號之前是一段SQL Command,分號之後又是另一段SQL Command了