关于declare @d int

潇浩发布于 2012-09-10 20:18， 1177 次点击

declare @d int 用declare来定义一个变量，并且指定为int型

在SQL注入中，有提到这句可以用来判断数据库是否支持多句查询

请问为什么可以用来判断是否支持多句查询？这不是个简单的定义语句吗？

还有就是and (select count(1) from [sysobjects])>=0 为什么可以用来判断是否支持子查询

知道的麻烦解释下谢谢

[ 本帖最后由潇浩于 2012-9-10 20:35 编辑 ]

3 回复

cnfarer2012-09-11 06:18

以上操作实际上已经执行了多句查询或子查询,如果成功当然就说明其支持了.

netlin2012-09-11 08:18

SQL注入，真值得大家多研究研究，即能防御，又能进攻！

潇浩2012-09-11 16:27

回复 2楼 cnfarer

嗯？不是就简单的执行了个定义语句？怎么说执行了多语句查询能解释下不