SQL概述及在网络安全中的应用（下）

核心提示： 这样就避免了得到第一次和第二次我们已经得到的值，我们就这样试下去会得到数据库中所有的值，SQL概述及在网络安全中的应用（下）(6)，这看起来好像确实比较麻烦，但在这里却是最有效的，你将得到一个错误信息说你的subselect返回了太多记录，你能查看表中所有的行，不是么？3.3 插入3.3.

这样就避免了得到第一次和第二次我们已经得到的值，我们就这样试下去会得到数据库中所有的值。这看起来好像确实比较麻烦，但在这里却是最有效的，不是么？

3.3 插入

3.3.1 插入基础

关键字INSERT 被用于向数据库添加信息，通常使用INSERT主要在包括用户注册，论坛，添加商品到购物车，等等。检查INSERT使用的弱点和检查WHERE一样。你可能不想使用INSERT,如何避免被利用弱点是一个重要的考虑问题。INSERT注入尝试常常会让数据库以行形式返回结果导致泛滥的单独的引用和SQL关健字的意义可能改变.取决于管理员的注意和信息对数据库的操作，这个是要引起注意的，刚刚说过的那些，INSERT注入和SELECT注入的不同。我们在一个允许用户进行各种注册，这就提供了一个你输入你的名字，地址，电话等等的表单。在你提交了这个表单之后，为了得到进一步的INSERT的弱点，你必须能够看到你提交的信息。它在那里不要紧。可能当你登陆根据在数据库里存储的名字的给予你权利的时候，可能在发送你的spam邮件的。。，谁知道，寻找一个途径至少可以看到你输入的信息。

一个插入的请求看起来象这样：INSERT INTO TableName VALUES ('Vaule One','Value Two','Value Three') 你想可能利用一个在参数VALUES中的子句来看到其他的数据。我们可以使用这种办法，sql的代码象这样：SQLString ="INSERT INTO TableName VALUES ('" & strValueOne & "', '" & strValueTwo & "', '" & strValueThree & "')"我们象这样填写表单：Name: ' + (SELECT TOP 1 FieldName FROM TableName) + ' Email: blah@blah.com Phone: 333-333-3333 使SQL的声明象这样 : INSERT INTO TableName VALUES ('' + (SELECT TOP 1 FieldName FROM TableName) + '', 'blah@blah.com', '333-333-3333')当你到了个人设置页面查看你的使用信息，你将看到的第一个字段这个通常是用户名r如果你使不在你的subselect中使用TOP 1，你将得到一个错误信息说你的subselect返回了太多记录，你能查看表中所有的行，使用NOT IN()同样的方法你可以得到单独的记录。