SQL注入-复合语句？

SQL是否可以插入一个以

DESC

或

ASC

结尾的查询，这些值或从变量中提取

SELECT * FROM [master].[dbo].[spt_values] ORDER BY low asc

尝试添加分号和新语句将不起作用，因为该语句直接加载到记录集中

我们尝试了分号新语句 和 联盟 等等

由于第一个数据集没有嵌套，有没有办法将数据集连接到第一个数据集中而不嵌套

编辑：

---

分号new命令将不起作用，因为它将作为记录集返回。它只是用一个新命令抛出各种各样的错误。目前正在修复。只是想向上级管理层表明这些都不是好的做法。

是的，这是可能的。为什么不验证不受信任的（！）输入字符串

Assert.IsTrue(str == "asc" || str == "desc");

---

是的，或者你当然可以在那里注射。像这样试试

SELECT * FROM [master].[dbo].[spt_values] ORDER BY low asc; DROP TABLE Users;

---

您似乎误解了什么是SQL注入。改变返回的数据集只是用它可以做的坏事之一（而且可能是最好的）。