Может ли кто-нибудь показать ПРИМЕР оператора sql, когда SQL-инъекция произошла даже после того, как все «одинарные кавычки» и «тире» были удалены из ввода пользователя?
SELECT MyRecord FROM MyTable
WHERE MyEmail='susan@site.com' AND MyPassword='foo'
(Никакие ИНТ здесь не задействованы.)
Кажется, все говорят: «Да, я могу это сделать» ... но когда их просят привести пример ... ни один из них никогда не показывался.
(Вы можно использовать любую версию, новую или старую, любого механизма sql: SQL Server, MySql, SqlLite, PostgreSQL, Oracle и бесчисленное множество других.)