inser into SQL注入时，这样的语句可以注入吗？
inser into SQL注入时，这样的语句可以注入吗？
Variable='123'
sql="insert into [table]() values ('" & Variable & "')"

[解决办法]
sql="insert into [table]() values ('" & Variable & "')"
你这个sql是
insert into [table]() values ('Variable');


比如说；你在Variable 前加个 '); 后面加个 --
sql就变成
insert into [table]() values (''); Variable
--');注释掉了
Variable 就可以再写一个sql
[解决办法]
Variable='123); delete from [table] --';
看这样会不会把你表中的数据都删掉。