SQLインジェクションテストを実行しようとしていますが、現在パラメータをスペースで区切っているコマンドラインをテスト中ですので、スペースなしでSQL文を書きます。私はそれをダウンしました:キーワード間にスペースを入れずにSQL文を書くことができます
create table"aab"("id"int,"notes"varchar(100))
しかし、私はどのようにCREATEとTABLEの間のスペースを取り除くかを理解することはできません。同じことが明らかにDROPとTABLEなどに当てはまります。
誰にもアイデアはありますか?これはMicrosoft SQL Server 2014用です。ありがとう!
[更新]:脆弱性について第三者の製品を評価しています。私は弱点のために自分自身のコードをテストするためにこれをやっていません。
他の空白文字(改行など)を入れることができますが、セパレータが必要です。 –
単にプリペアドステートメントを使用しないのはなぜですか?それはまた、SQLインジェクションからあなたを保存します。 – Carra