易受攻击的方法使用表单引用连接 SQL 字符串

这是新手开发人员构建 SQL 操作查询的典型方法。它们容易受到 Bobby Tables 类型 SQL 注入攻击。

Dim strSQL As String

strSQL = "INSERT INTO Employees chrFirstName, chrLastName, chrPhone " _
         & "VALUES ('" & Me!txtFirstName & "','" & Me!txtLastName & "','" & Me!txtPhone & "');"

CurrentDb.Execute strSQL